Cuando basta con una sola firma mal configurada para crear 292 millones de dólares en tokens de la nada, toda la premisa de las finanzas sin confianza parece mucho más inestable de lo que su nombre sugiere.

Cómo funcionó el ataque

El 18 de abril de 2026, un atacante explotó una vulnerabilidad en el puente entre cadenas de KelpDAO, impulsado por LayerZero, para sustraer 116,500 tokens rsETH, con un valor aproximado de 292 millones de dólares. Esto representa alrededor del 18% del suministro total en circulación de rsETH, y fue producto de una falla que no residía en el protocolo de LayerZero en sí, sino en la configuración de Kelp.

El sistema se basaba en un único punto de verificación para autorizar los mensajes entre cadenas. El atacante lo descubrió, lo explotó y se envió un mensaje que no debería haber pasado. "Una firma y 116,500 rsETH aparecieron de la nada en Ethereum", como lo describieron posteriormente los investigadores. Estos tokens se utilizaron como garantía para obtener préstamos de activos reales, principalmente de Aave, y se agotaron antes de que el protocolo pudiera pausarse.

Las huellas dactilares del Grupo Lázaro

A los tres días de la brecha, la empresa de análisis de blockchain Chainalysis atribuyó el ataque La atribución se atribuye al Grupo Lazarus de Corea del Norte, basándose en patrones de uso de mezcladores y métodos de distribución de fondos que coinciden con el estilo operativo conocido del grupo. Esta atribución es coherente con el historial de Lazarus de atacar protocolos DeFi; han sido los ladrones de criptomonedas más prolíficos en los últimos años.

La magnitud de las pérdidas la convierte en la mayor explotación de DeFi de 2026, superando el hackeo de Drift por varios millones de dólares. Las pérdidas acumuladas en DeFi este año ya superan los 770 millones de dólares en más de 30 incidentes, una cifra difícil de justificar como un simple problema propio de una industria en crecimiento.

DeFi organiza un rescate

Lo que siguió fue, según el punto de vista, una muestra notable de coordinación o un recordatorio de que la red de seguridad en DeFi es completamente informal.

Aave convocó una coalición llamada "DeFi United", que incorporó a Lido Finance, EtherFi y otros protocolos importantes para aportar ETH y cubrir el déficit en los fondos de préstamos de Aave. El 21 de abril, el Consejo de Seguridad de la Red de Arbitrum congeló 30,766 ETH (aproximadamente 71 millones de dólares) pertenecientes al atacante, recuperando cerca del 25% de los activos robados. Standard Chartered publicó una nota calificando la respuesta del sector como una señal de resiliencia. La comunidad cripto en general fue menos cautelosa, con Algunos declaran muertas las finanzas descentralizadas (DeFi). total.

Qué necesita cambiar

El análisis posterior al incidente publicado el sábado por CoinDesk señala a los puentes entre cadenas como el eslabón más débil y persistente de DeFi, un problema del que la industria es consciente desde las vulnerabilidades de los puentes Wormhole y Ronin años atrás. El patrón es consistente: la complejidad de los puentes crea superficies de ataque, y los incentivos para lanzar productos rápidamente tienden a ser mayores que los incentivos para auditar cuidadosamente.

Lo más preocupante de este incidente es que no se trató de una vulnerabilidad de día cero sofisticada, sino de un error de configuración. La infraestructura de LayerZero funcionó según lo previsto; el problema radicó en cómo Kelp la implementó. Este es un problema mucho más difícil de abordar únicamente con auditorías, ya que implica que cualquier protocolo que utilice infraestructura compartida debe verificar no solo el código, sino también cada parámetro que rige la confianza y la validación de los mensajes entre cadenas.

KelpDAO y Aave aún se encuentran en proceso de recuperación. Mientras tanto, Lazarus Group tiene un patrimonio estimado de 292 millones de dólares que blanquear. En el mundo de las criptomonedas, algunas cosas se mueven más rápido que otras.

---------------

Escrito por ryan gardner
Silicon Mesa de Noticias del Valle

Otro día, otro protocolo DeFi en quiebra. Wasabi Protocol, una plataforma de negociación de contratos perpetuos que opera en Ethereum, Base, Berachain y Blast, perdió entre 4.5 y 5.5 millones de dólares el 30 de abril después de que un atacante comprometiera la clave de administrador del implementador y la utilizara para vaciar sistemáticamente los contratos de la bóveda en las cuatro cadenas.

El ataque fue rápido y metódico. Una vez que el atacante tuvo la clave de administrador, llamó a grantRole en el contrato de permisos de Wasabi para otorgarse privilegios de administrador completos sin demora, sin bloqueo de tiempo, sin período de espera. A partir de ahí, según The BlockActualizaron las bóvedas de delincuentes y el Long Pool del protocolo a implementaciones maliciosas que simplemente vaciaban los saldos.

¿Qué fue lo que recibió el golpe?

En Ethereum, los contratos afectados incluyeron las bóvedas wWETH, sUSDC, wBITCON, wPEPE y Long Pool de Wasabi. En Base, el ataque afectó a las bóvedas sUSDC, wWETH, sBTC, sVIRTUAL, sAERO y sBRETT. La exposición a Berachain y Blast contribuyó a la pérdida total.

La empresa de seguridad Blockaid alertó sobre la vulnerabilidad mientras ocurría, lo que al menos dio tiempo a algunos usuarios para reaccionar; sin embargo, la naturaleza de una vulneración de la clave de administrador implica que el protocolo en sí tiene muy pocas opciones una vez que la clave está en manos hostiles. El atacante controlaba el mecanismo de actualización y reescribió los contratos.

El fallo de seguridad es vergonzosamente básico.

Este caso duele porque era totalmente evitable. La causa principal no fue una vulnerabilidad de día cero novedosa, un error de reentrada complejo ni un caso límite sutil en una primitiva criptográfica. Fue una única cuenta de propiedad externa con el rol completo de ADMIN_ROLE en el PerpManager de Wasabi, sin necesidad de multifirma, sin bloqueo temporal y sin ningún proceso de gobernanza que protegiera ese acceso.

Eso es un requisito básico de seguridad para cualquier protocolo que gestione fondos reales de usuarios. Exigir varias claves para firmar una acción privilegiada, o imponer un retraso de 24 o 48 horas antes de que una actualización surta efecto, habría detenido este ataque por completo. Un simple bloqueo temporal habría dado a los usuarios y a los investigadores de seguridad tiempo suficiente para detectar la transacción maliciosa en cola y responder antes de que se ejecutara.

Wasabi no es el primer protocolo que omite estas protecciones y paga por ello. No será el último. Pero la frecuencia con la que se ven comprometidas las claves de administración centralizadas en DeFi —y la frecuencia con la que los análisis posteriores revelan que nunca se implementó la multifirma ni el bloqueo temporal— es realmente difícil de explicar en este punto del desarrollo de la industria.

Contexto: El peor mes registrado

El ataque a Wasabi se produjo a finales de abril de 2026, el peor mes en cuanto a ciberataques desde que se iniciaron los registros. DeFiLlama confirmó 30 incidentes distintos en abril, con pérdidas totales superiores a los 625 millones de dólares, lo que equivale aproximadamente a un ataque diario. Dos incidentes destacaron: el robo mediante ingeniería social del Protocolo Drift (aproximadamente 285 millones de dólares) y la vulnerabilidad del puente LayerZero de KelpDAO (292 millones de dólares), ambos atribuidos por los investigadores al Grupo Lazarus de Corea del Norte.

La pérdida de 5 millones de dólares de Wasabi parece modesta en comparación con esas cifras, pero sirve como recordatorio de que la superficie de ataque no se limita a contratos puente masivos ni a protocolos con gran financiación. Las plataformas de licencias perpetuas más pequeñas, con depósitos reales de usuarios y una única clave de administrador desprotegida, son igual de vulnerables, y el incentivo económico para atacarlas es real.

Lo que los usuarios deben saber

Wasabi Protocol suspendió las bóvedas afectadas y publicó información sobre el incidente en sus redes sociales. Los usuarios con posiciones abiertas o depósitos en los contratos afectados deben verificar su estado directamente a través de los canales oficiales de Wasabi y desconfiar de cualquier oferta de recuperación recibida por mensaje directo; la estafa de reembolsos falsos que sigue a las vulnerabilidades es casi tan fiable como las propias vulnerabilidades.

La lección más importante de abril de 2026 es una que la industria sigue aprendiendo: no importa lo buena que sea la interfaz de negociación, lo competitivas que sean las comisiones o la cantidad de TVL acumulada por un protocolo. Si la clave de administrador puede vaciarlo todo en una sola transacción sin ningún tipo de control, tarde o temprano alguien la conseguirá. Hay que diseñar en consecuencia.

---------------

Escrito por sala alan
Mostrador de noticias de Seattle

Cómo Corea del Norte robó 292 millones de dólares de la infraestructura de DeFi.

El sector de las finanzas descentralizadas (DeFi) tuvo una semana difícil, y cuando digo difícil, me refiero a una situación que roza la crisis existencial. El 18 de abril, atacantes identificados posteriormente como el Grupo Lazarus de Corea del Norte explotaron la vulnerabilidad de Kelp DAO, robando 116,500 rsETH, con un valor aproximado de 292 millones de dólares. En 48 horas, el impacto había borrado más de 13 millones de dólares en valor total bloqueado en las finanzas descentralizadas.

Se trata del mayor ataque a la infraestructura DeFi de 2026, y puso al descubierto una vulnerabilidad sobre la que se venía advirtiendo al sector desde hace años.

Lo que realmente pasó

La raíz del problema era sorprendentemente simple en su concepto, aunque técnicamente sofisticada en su ejecución. El puente de Kelp DAO dependía de LayerZero para la mensajería entre cadenas, pero estaba configurado con un verificador 1 de 1, lo que significaba que un solo nodo era responsable de validar todos los mensajes entre cadenas antes de que se pudieran transferir fondos.

Lazarus no necesitó vulnerar directamente al verificador. En cambio, el grupo comprometió dos nodos de llamada a procedimiento remoto (RPC) que enviaban datos a dicho verificador. Con esos nodos bajo su control, inyectaron mensajes falsos entre cadenas a través de LayerZero, engañando al puente para que liberara fondos que nunca debió haber tocado. según CoinDeskEl rsETH robado se extendió por más de 20 redes blockchain, lo que hizo que su contención rápida fuera prácticamente imposible.

La configuración 1 de 1 fue el punto crítico de fallo. Una configuración con múltiples validadores habría requerido que el atacante comprometiera varios nodos independientes simultáneamente, una tarea mucho más difícil. En cambio, un único punto de fallo colapsó ante una operación de piratería informática bien financiada por un Estado.

Las consecuencias: Una experiencia cercana a la muerte para DeFi

Debido a que rsETH sirvió como garantía en múltiples protocolos de redes de capa 2, el daño no se limitó a Kelp DAO. Aave, SparkLend y Fluid actuaron con rapidez para congelar el activo, pero no antes de que el mercado en general reaccionara. Solo Aave experimentó una fuga de depósitos por valor de 8.45 millones de dólares en 48 horas.

El valor total bloqueado del sector cayó más de 13 millones de dólares en dos días. Crypto.news informó Abril de 2026 se ha convertido en el peor mes para los ciberataques a criptomonedas desde la filtración de datos de Bybit, que ascendió a 1.4 millones de dólares en febrero de 2025, con pérdidas superiores a los 606 millones de dólares en tan solo 18 días.

En una respuesta coordinada, el fundador de Aave, Stani Kulechov, unió fuerzas con Lido Finance y EtherFi para proponer cubrir el déficit utilizando reservas de ether, una muestra inusual de cooperación entre diferentes protocolos que podría haber evitado una cascada de deudas incobrables a mayor escala.

LayerZero ha atribuido formalmente el ataque a TraderTraitor, el subgrupo de Lazarus responsable de algunos de los robos de criptomonedas más lucrativos de los últimos años, incluyendo la vulnerabilidad del puente Ronin en 2022 y el hackeo del exchange Bybit a principios de este año.

Qué significa esto para la seguridad de los puentes

Si algo demuestra la vulnerabilidad de Kelp DAO, es que los puentes criptográficos siguen siendo la superficie de ataque más peligrosa del sector. Casi todos los ataques importantes a protocolos recientes han explotado el mismo problema fundamental: un mensaje entre cadenas al que se le dio confianza cuando no debería haber sido así.

La solución no es complicada en teoría. Configuraciones con múltiples validadores, redes de nodos RPC descentralizadas y auditorías de seguridad independientes de la infraestructura de puentes elevarían considerablemente el nivel de exigencia. El problema radica en que a menudo se justifica el recorte de gastos en infraestructura como una medida para "actuar con rapidez", hasta que un Estado con paciencia ilimitada decide aprovecharse de la situación.

La recuperación de DeFi tras este ataque parece manejable. El módulo de seguridad de Aave resistió, los protocolos se coordinaron rápidamente y ninguna plataforma importante parece haber colapsado. Sin embargo, el sector absorbió un impacto de 13 mil millones de dólares en 48 horas. El próximo puente que ejecute un verificador 1 de 1 podría no tener tanta suerte.

---------------

Escrito por ryan gardner
Silicon Mesa de Noticias del Valle