Cuando basta con una sola firma mal configurada para crear 292 millones de dólares en tokens de la nada, toda la premisa de las finanzas sin confianza parece mucho más inestable de lo que su nombre sugiere.

Cómo funcionó el ataque

El 18 de abril de 2026, un atacante explotó una vulnerabilidad en el puente entre cadenas de KelpDAO, impulsado por LayerZero, para sustraer 116,500 tokens rsETH, con un valor aproximado de 292 millones de dólares. Esto representa alrededor del 18% del suministro total en circulación de rsETH, y fue producto de una falla que no residía en el protocolo de LayerZero en sí, sino en la configuración de Kelp.

El sistema se basaba en un único punto de verificación para autorizar los mensajes entre cadenas. El atacante lo descubrió, lo explotó y se envió un mensaje que no debería haber pasado. "Una firma y 116,500 rsETH aparecieron de la nada en Ethereum", como lo describieron posteriormente los investigadores. Estos tokens se utilizaron como garantía para obtener préstamos de activos reales, principalmente de Aave, y se agotaron antes de que el protocolo pudiera pausarse.

Las huellas dactilares del Grupo Lázaro

A los tres días de la brecha, la empresa de análisis de blockchain Chainalysis atribuyó el ataque La atribución se atribuye al Grupo Lazarus de Corea del Norte, basándose en patrones de uso de mezcladores y métodos de distribución de fondos que coinciden con el estilo operativo conocido del grupo. Esta atribución es coherente con el historial de Lazarus de atacar protocolos DeFi; han sido los ladrones de criptomonedas más prolíficos en los últimos años.

La magnitud de las pérdidas la convierte en la mayor explotación de DeFi de 2026, superando el hackeo de Drift por varios millones de dólares. Las pérdidas acumuladas en DeFi este año ya superan los 770 millones de dólares en más de 30 incidentes, una cifra difícil de justificar como un simple problema propio de una industria en crecimiento.

DeFi organiza un rescate

Lo que siguió fue, según el punto de vista, una muestra notable de coordinación o un recordatorio de que la red de seguridad en DeFi es completamente informal.

Aave convocó una coalición llamada "DeFi United", que incorporó a Lido Finance, EtherFi y otros protocolos importantes para aportar ETH y cubrir el déficit en los fondos de préstamos de Aave. El 21 de abril, el Consejo de Seguridad de la Red de Arbitrum congeló 30,766 ETH (aproximadamente 71 millones de dólares) pertenecientes al atacante, recuperando cerca del 25% de los activos robados. Standard Chartered publicó una nota calificando la respuesta del sector como una señal de resiliencia. La comunidad cripto en general fue menos cautelosa, con Algunos declaran muertas las finanzas descentralizadas (DeFi). total.

Qué necesita cambiar

El análisis posterior al incidente publicado el sábado por CoinDesk señala a los puentes entre cadenas como el eslabón más débil y persistente de DeFi, un problema del que la industria es consciente desde las vulnerabilidades de los puentes Wormhole y Ronin años atrás. El patrón es consistente: la complejidad de los puentes crea superficies de ataque, y los incentivos para lanzar productos rápidamente tienden a ser mayores que los incentivos para auditar cuidadosamente.

Lo más preocupante de este incidente es que no se trató de una vulnerabilidad de día cero sofisticada, sino de un error de configuración. La infraestructura de LayerZero funcionó según lo previsto; el problema radicó en cómo Kelp la implementó. Este es un problema mucho más difícil de abordar únicamente con auditorías, ya que implica que cualquier protocolo que utilice infraestructura compartida debe verificar no solo el código, sino también cada parámetro que rige la confianza y la validación de los mensajes entre cadenas.

KelpDAO y Aave aún se encuentran en proceso de recuperación. Mientras tanto, Lazarus Group tiene un patrimonio estimado de 292 millones de dólares que blanquear. En el mundo de las criptomonedas, algunas cosas se mueven más rápido que otras.

---------------

Escrito por ryan gardner
Silicon Mesa de Noticias del Valle

Cómo Corea del Norte robó 292 millones de dólares de la infraestructura de DeFi.

El sector de las finanzas descentralizadas (DeFi) tuvo una semana difícil, y cuando digo difícil, me refiero a una situación que roza la crisis existencial. El 18 de abril, atacantes identificados posteriormente como el Grupo Lazarus de Corea del Norte explotaron la vulnerabilidad de Kelp DAO, robando 116,500 rsETH, con un valor aproximado de 292 millones de dólares. En 48 horas, el impacto había borrado más de 13 millones de dólares en valor total bloqueado en las finanzas descentralizadas.

Se trata del mayor ataque a la infraestructura DeFi de 2026, y puso al descubierto una vulnerabilidad sobre la que se venía advirtiendo al sector desde hace años.

Lo que realmente pasó

La raíz del problema era sorprendentemente simple en su concepto, aunque técnicamente sofisticada en su ejecución. El puente de Kelp DAO dependía de LayerZero para la mensajería entre cadenas, pero estaba configurado con un verificador 1 de 1, lo que significaba que un solo nodo era responsable de validar todos los mensajes entre cadenas antes de que se pudieran transferir fondos.

Lazarus no necesitó vulnerar directamente al verificador. En cambio, el grupo comprometió dos nodos de llamada a procedimiento remoto (RPC) que enviaban datos a dicho verificador. Con esos nodos bajo su control, inyectaron mensajes falsos entre cadenas a través de LayerZero, engañando al puente para que liberara fondos que nunca debió haber tocado. según CoinDeskEl rsETH robado se extendió por más de 20 redes blockchain, lo que hizo que su contención rápida fuera prácticamente imposible.

La configuración 1 de 1 fue el punto crítico de fallo. Una configuración con múltiples validadores habría requerido que el atacante comprometiera varios nodos independientes simultáneamente, una tarea mucho más difícil. En cambio, un único punto de fallo colapsó ante una operación de piratería informática bien financiada por un Estado.

Las consecuencias: Una experiencia cercana a la muerte para DeFi

Debido a que rsETH sirvió como garantía en múltiples protocolos de redes de capa 2, el daño no se limitó a Kelp DAO. Aave, SparkLend y Fluid actuaron con rapidez para congelar el activo, pero no antes de que el mercado en general reaccionara. Solo Aave experimentó una fuga de depósitos por valor de 8.45 millones de dólares en 48 horas.

El valor total bloqueado del sector cayó más de 13 millones de dólares en dos días. Crypto.news informó Abril de 2026 se ha convertido en el peor mes para los ciberataques a criptomonedas desde la filtración de datos de Bybit, que ascendió a 1.4 millones de dólares en febrero de 2025, con pérdidas superiores a los 606 millones de dólares en tan solo 18 días.

En una respuesta coordinada, el fundador de Aave, Stani Kulechov, unió fuerzas con Lido Finance y EtherFi para proponer cubrir el déficit utilizando reservas de ether, una muestra inusual de cooperación entre diferentes protocolos que podría haber evitado una cascada de deudas incobrables a mayor escala.

LayerZero ha atribuido formalmente el ataque a TraderTraitor, el subgrupo de Lazarus responsable de algunos de los robos de criptomonedas más lucrativos de los últimos años, incluyendo la vulnerabilidad del puente Ronin en 2022 y el hackeo del exchange Bybit a principios de este año.

Qué significa esto para la seguridad de los puentes

Si algo demuestra la vulnerabilidad de Kelp DAO, es que los puentes criptográficos siguen siendo la superficie de ataque más peligrosa del sector. Casi todos los ataques importantes a protocolos recientes han explotado el mismo problema fundamental: un mensaje entre cadenas al que se le dio confianza cuando no debería haber sido así.

La solución no es complicada en teoría. Configuraciones con múltiples validadores, redes de nodos RPC descentralizadas y auditorías de seguridad independientes de la infraestructura de puentes elevarían considerablemente el nivel de exigencia. El problema radica en que a menudo se justifica el recorte de gastos en infraestructura como una medida para "actuar con rapidez", hasta que un Estado con paciencia ilimitada decide aprovecharse de la situación.

La recuperación de DeFi tras este ataque parece manejable. El módulo de seguridad de Aave resistió, los protocolos se coordinaron rápidamente y ninguna plataforma importante parece haber colapsado. Sin embargo, el sector absorbió un impacto de 13 mil millones de dólares en 48 horas. El próximo puente que ejecute un verificador 1 de 1 podría no tener tanta suerte.

---------------

Escrito por ryan gardner
Silicon Mesa de Noticias del Valle