Puntos clave:
El protocolo de mensajería cross-chain LayerZero ha admitido públicamente su responsabilidad por un fallo crítico de seguridad que permitió el exploit de 292 millones de dólares de Kelp DAO en abril, comprometiéndose a una revisión de seguridad en toda la red.
En un análisis detallado posterior al incidente, los ejecutivos de LayerZero asumieron total responsabilidad por permitir que una aplicación de alto valor operara con una configuración de validador único, un diseño que creaba un punto único de falla. “No supervisamos lo que nuestro DVN estaba asegurando, lo que creó un riesgo que simplemente no vimos”, afirmó la empresa, marcando un giro significativo respecto a sus comunicaciones iniciales.
El ataque del 18 de abril, ampliamente atribuido al Grupo Lazarus de Corea del Norte, sigue siendo la mayor brecha de seguridad DeFi de 2026. Aunque el protocolo principal de LayerZero no se vio comprometido, los atacantes manipularon la fuente de datos utilizada por la propia Red de Validadores Descentralizados (DVN) de LayerZero Labs. Esto permitió el robo de 117,132 rsETH de Kelp DAO, una parte del cual se utilizó posteriormente como garantía en el protocolo de préstamos Aave, generando una deuda incobrable de aproximadamente 190 millones de dólares.
Las consecuencias del incidente obligan a una reevaluación más amplia de la industria sobre la seguridad de los puentes cross-chain y el equilibrio entre la autonomía de los desarrolladores y las salvaguardas a nivel de protocolo. Como consecuencia directa, Kelp DAO anunció que migrará de LayerZero al Protocolo de Interoperabilidad Cross-Chain (CCIP) de Chainlink y ha comenzado a reactivar los retiros de rsETH tras los pasos iniciales de recuperación coordinados con Aave.
LayerZero actuó de inmediato para eliminar la vulnerabilidad en su ecosistema. La firma anunció que su DVN ya no admitirá configuraciones 1-de-1 para ningún proyecto. Las configuraciones por defecto se están actualizando para requerir múltiples validadores; idealmente cinco, o un mínimo de tres donde las opciones sean limitadas.
Kelp DAO confirmó que ya ha actualizado sus configuraciones restantes de puente en LayerZero para requerir cuatro atestadores independientes y ha aumentado las confirmaciones de bloques de 42 a 64.
El ataque también ha impulsado un esfuerzo de recuperación más amplio. Aave encabezó una iniciativa llamada DeFi United, que recaudó más de 300 millones de dólares en ETH para apuntalar los protocolos afectados. Sin embargo, los desafíos legales han complicado el uso de algunos fondos recuperados, ya que un tribunal de EE. UU. ha impuesto restricciones sobre 72 millones de dólares en ETH congelados en la red Arbitrum vinculados al atacante.
LayerZero declaró que, a pesar del incidente, se han transferido más de 9,000 millones de dólares en valor a través del protocolo desde mediados de abril sin problemas. La empresa está lanzando nuevas herramientas, incluyendo un cliente DVN basado en Rust y una plataforma Console mejorada, para ayudar a los proyectos a gestionar configuraciones y detectar anomalías, con el objetivo de reconstruir la confianza mediante la aplicación de estándares más estrictos y seguros por defecto.
Este artículo tiene fines informativos únicamente y no constituye asesoramiento de inversión.
