Cuando basta con una sola firma mal configurada para crear 292 millones de dólares en tokens de la nada, toda la premisa de las finanzas sin confianza parece mucho más inestable de lo que su nombre sugiere.

Cómo funcionó el ataque

El 18 de abril de 2026, un atacante explotó una vulnerabilidad en el puente entre cadenas de KelpDAO, impulsado por LayerZero, para sustraer 116,500 tokens rsETH, con un valor aproximado de 292 millones de dólares. Esto representa alrededor del 18% del suministro total en circulación de rsETH, y fue producto de una falla que no residía en el protocolo de LayerZero en sí, sino en la configuración de Kelp.

El sistema se basaba en un único punto de verificación para autorizar los mensajes entre cadenas. El atacante lo descubrió, lo explotó y se envió un mensaje que no debería haber pasado. "Una firma y 116,500 rsETH aparecieron de la nada en Ethereum", como lo describieron posteriormente los investigadores. Estos tokens se utilizaron como garantía para obtener préstamos de activos reales, principalmente de Aave, y se agotaron antes de que el protocolo pudiera pausarse.

Las huellas dactilares del Grupo Lázaro

A los tres días de la brecha, la empresa de análisis de blockchain Chainalysis atribuyó el ataque La atribución se atribuye al Grupo Lazarus de Corea del Norte, basándose en patrones de uso de mezcladores y métodos de distribución de fondos que coinciden con el estilo operativo conocido del grupo. Esta atribución es coherente con el historial de Lazarus de atacar protocolos DeFi; han sido los ladrones de criptomonedas más prolíficos en los últimos años.

La magnitud de las pérdidas la convierte en la mayor explotación de DeFi de 2026, superando el hackeo de Drift por varios millones de dólares. Las pérdidas acumuladas en DeFi este año ya superan los 770 millones de dólares en más de 30 incidentes, una cifra difícil de justificar como un simple problema propio de una industria en crecimiento.

DeFi organiza un rescate

Lo que siguió fue, según el punto de vista, una muestra notable de coordinación o un recordatorio de que la red de seguridad en DeFi es completamente informal.

Aave convocó una coalición llamada "DeFi United", que incorporó a Lido Finance, EtherFi y otros protocolos importantes para aportar ETH y cubrir el déficit en los fondos de préstamos de Aave. El 21 de abril, el Consejo de Seguridad de la Red de Arbitrum congeló 30,766 ETH (aproximadamente 71 millones de dólares) pertenecientes al atacante, recuperando cerca del 25% de los activos robados. Standard Chartered publicó una nota calificando la respuesta del sector como una señal de resiliencia. La comunidad cripto en general fue menos cautelosa, con Algunos declaran muertas las finanzas descentralizadas (DeFi). total.

Qué necesita cambiar

El análisis posterior al incidente publicado el sábado por CoinDesk señala a los puentes entre cadenas como el eslabón más débil y persistente de DeFi, un problema del que la industria es consciente desde las vulnerabilidades de los puentes Wormhole y Ronin años atrás. El patrón es consistente: la complejidad de los puentes crea superficies de ataque, y los incentivos para lanzar productos rápidamente tienden a ser mayores que los incentivos para auditar cuidadosamente.

Lo más preocupante de este incidente es que no se trató de una vulnerabilidad de día cero sofisticada, sino de un error de configuración. La infraestructura de LayerZero funcionó según lo previsto; el problema radicó en cómo Kelp la implementó. Este es un problema mucho más difícil de abordar únicamente con auditorías, ya que implica que cualquier protocolo que utilice infraestructura compartida debe verificar no solo el código, sino también cada parámetro que rige la confianza y la validación de los mensajes entre cadenas.

KelpDAO y Aave aún se encuentran en proceso de recuperación. Mientras tanto, Lazarus Group tiene un patrimonio estimado de 292 millones de dólares que blanquear. En el mundo de las criptomonedas, algunas cosas se mueven más rápido que otras.

---------------

Escrito por ryan gardner
Silicon Mesa de Noticias del Valle

Feliz Día de los Inocentes... Tus 280 millones de dólares han desaparecido. De verdad. 

El 1 de abril, la plataforma DeFi Drift Protocol, con sede en Solana, sufrió un robo de 280 millones de dólares en lo que la empresa de seguridad blockchain Elliptic afirma que tiene todas las características de una operación respaldada por el Estado norcoreano. El ataque no fue una broma, y ​​para los usuarios de Drift, fue de lo más desagradable.

Lo que hizo que este caso fuera técnicamente notable fue el vector de ataque. En lugar de una explotación directa o los trucos de ingeniería social por los que son conocidos los hackers norcoreanos, los supuestos atacantes abusaron de una característica de Solana llamada nonce duradero, un mecanismo diseñado para evitar tiempos de espera de transacciones. Según Según informa FortuneEl atacante utilizó este mecanismo para engañar al Consejo de Seguridad de Drift y lograr que preaprobara transacciones que no se ejecutarían hasta semanas después, lo que en la práctica supuso la colocación de una bomba de relojería dentro de la propia capa administrativa del protocolo.

Drift confirmó el incidente en una publicación en X, donde describió cómo "un atacante malintencionado obtuvo acceso no autorizado al Protocolo Drift mediante un novedoso ataque que involucraba nonces persistentes, lo que resultó en una rápida toma de control de los poderes administrativos del Consejo de Seguridad de Drift". La plataforma suspendió de inmediato los depósitos y retiros para todos los usuarios.

La ola de delitos con criptomonedas en Corea del Norte continúa.

La atribución de Elliptic coincide con un patrón ya bien establecido. Corea del Norte fue responsable del robo de aproximadamente 2 millones de dólares en criptomonedas a lo largo de 2025, lo que representa alrededor del 60 % de todos los activos digitales robados a nivel mundial ese año, según la firma de análisis de blockchain Chainalysis. El robo más audaz del país fue el presunto hackeo de 1.5 millones de dólares a la plataforma de intercambio de criptomonedas Bybit a principios de 2025, que sigue siendo el mayor robo de criptomonedas registrado hasta la fecha.

Los hackers norcoreanos suelen recurrir a la ingeniería social: crean identidades falsas, se infiltran en equipos y manipulan a empleados para que les entreguen sus credenciales. El ataque a Drift representa algo diferente: una explotación paciente y técnicamente sofisticada que utilizó la propia infraestructura de seguridad de la plataforma en su contra. El atacante no forzó la puerta; convenció a alguien dentro para que la dejara abierta.

¿Quién es Drift?

Drift Protocol fue fundada en 2021 por Cindy Leow y David Lu. Ofrece contratos de futuros perpetuos y otros productos de negociación en Solana, y antes del ataque había acumulado más de 400 millones de dólares en depósitos totales. Esa cifra es ahora considerablemente diferente. La plataforma aún no ha proporcionado un cronograma público detallado para la reanudación de sus operaciones normales.

El hackeo de Drift nos recuerda que el modelo de seguridad de DeFi —que se basa en consejos multifirma, gobernanza en la cadena y claves administrativas comunitarias— es tan sólido como las personas y los procesos que lo respaldan. Un nonce duradero no es un error; es una característica. Pero las características pueden usarse como arma, y ​​los supuestos hackers norcoreanos parecen haber estudiado la mecánica de Solana con la suficiente atención como para hacer precisamente eso.

Para el ecosistema Solana en general, el momento no podría ser peor. La red ha dedicado casi dos años a posicionarse como la plataforma DeFi de referencia para instituciones. Un robo de 280 millones de dólares, supuestamente entregados a un régimen bajo sanciones internacionales, no deja en buen lugar a nadie, independientemente de la cadena de bloques en la que se haya producido el ataque.

---------------

Escrito por Cedric Holloway
Sala de prensa de Nueva York