LayerZero responde al evento de 292 millones de Kelp DAO: indica que Kelp configuró 1-of-1 DVN de selección propia y que el atacante es Lazarus de Corea del Norte

El protocolo de mensajería entre cadenas LayerZero, en hora local de Taiwán (TST) 20 de abril al mediodía, publicó un comunicado formal oficial a través de su cuenta verificada oficial en X, en respuesta al incidente de piratería de 292 millones de dólares que sufrió Kelp DAO dos días antes. De acuerdo con un reporte de CoinDesk, LayerZero atribuyó de manera explícita la causa del incidente a la “elección por parte de Kelp DAO de usar una configuración de un solo validador DVN 1-of-1”, y por primera vez atribuyó al atacante al equipo TraderTraitor, bajo la organización Lazarus de Corea del Norte. — Los mismos piratas informáticos que previamente también se consideró que fueron los ejecutores del incidente de Drift Protocol por 285 millones de dólares del 1 de abril.

¿Qué es 1-of-1 DVN?

LayerZero v2 utiliza una arquitectura DVN (Decentralized Verifier Network). Al desplegar el proyecto, puede elegirse de forma independiente el uso de “cuántos nodos de validadores independientes” se emplearán para el consenso, en un rango que va desde 1-of-1 (un solo nodo) hasta M-of-N (se requiere la aprobación de la mayoría). La cantidad de DVN determina el límite de tolerancia a fallos: 1-of-1 significa que, con que ese único nodo sea comprometido, el mensaje entre cadenas puede ser falsificado; M-of-N, en cambio, requiere comprometer más de la mitad de los nodos para poder falsificarlo.

En su comunicado, LayerZero señaló: “KelpDAO eligió usar una configuración de 1-of-1 DVN. Una arquitectura de validadores múltiples bien configurada requerirá que múltiples DVN independientes alcancen consenso; incluso si cualquier validador independiente es comprometido, el ataque seguirá siendo ineficaz”. La lista oficial de comprobación de integraciones y la comunicación directa con Kelp también habían recomendado el uso de un diseño con redundancia de validadores.

Técnica de ataque: el binario del nodo RPC fue reemplazado; engaño selectivo

LayerZero reveló detalles técnicos del ataque. Los atacantes comprometieron dos nodos RPC (Remote Procedure Call) que el validador de LayerZero usa para leer y escribir datos en la cadena; — los validadores de LayerZero usan de forma combinada RPC internos y externos para aumentar la redundancia. Los piratas informáticos sustituyeron el software binario nativo que se ejecutaba en esos dos nodos por una versión maliciosa modificada.

El diseño del binario malicioso es sumamente astuto: solo miente al validador de LayerZero con un mensaje de que “ya ocurrió una transacción entre cadenas falsificada”, pero para todas las demás consultas que consultan el mismo nodo en los demás sistemas (incluido el propio sistema de monitoreo de LayerZero que consulta con diferentes IPs) sigue devolviendo datos correctos. Esta “mentira selectiva” hace que el ataque sea prácticamente invisible en la capa de monitoreo de LayerZero.

Lazarus sacó 575 millones de dólares de DeFi en 18 días

LayerZero atribuyó el ataque al equipo TraderTraitor, bajo el grupo Lazarus de Corea del Norte, y lo marcó como una “atribución inicial de alta credibilidad”. El mismo equipo previamente se consideró que fue el ejecutor del incidente del 1 de abril de Drift Protocol por 285 millones de dólares — dos eventos separados por 18 días, en conjunto retiraron más de 575 millones de dólares del mercado DeFi.

La estructura del recorrido de los dos ataques fue completamente diferente: Drift fue mediante un ataque de ingeniería social contra los firmantes de gobernanza (Corea del Norte se hizo pasar por una identidad para inducir a los poseedores de multi-firma a firmar una transacción maliciosa); Kelp, en cambio, fue mediante la infección de la capa de infraestructura (nodos RPC) para engañar al protocolo de validación. Esto indica que la capacidad de ataque a DeFi de Lazarus ya ha superado el límite tradicional de “vulnerabilidades de contratos inteligentes”, y se expande en dos direcciones paralelas: “atacar a las personas” y “atacar infraestructuras”.

Los tres anuncios de políticas de LayerZero

En su comunicado, LayerZero planteó tres posturas claras. Primero, el incidente se debe a la elección de configuración de Kelp y no a una vulnerabilidad a nivel de protocolo; segundo, después de una verificación integral se confirmó que no existe riesgo relacionado para todas las demás aplicaciones en el protocolo (las aplicaciones que usan el estándar OFT + validadores múltiples no se vieron afectadas); tercero, a partir de ahora LayerZero ya no firmará mensajes para ninguna aplicación que use una configuración de validador 1-of-1, obligando a que todos los integradores actualicen a una arquitectura de validadores múltiples.

Esta es la primera vez que LayerZero establece un “umbral mínimo de seguridad” a nivel de protocolo; — antes, los validadores múltiples eran solo “recomendados”, y ahora se convierten en un requisito obligatorio. Esta medida sirve tanto para desligar la responsabilidad del incidente de Kelp como para emitir una señal de mejora de seguridad colectiva para todo el ecosistema DeFi. Para las pocas iniciativas que aún no hayan cambiado a una configuración con validadores múltiples, es posible que enfrenten el riesgo de ser retiradas en el transcurso de esta semana.

Aún hay controversia sobre la atribución de responsabilidades

LayerZero trasladó la responsabilidad de manera explícita a la elección de configuración de Kelp, pero la opinión del público externo no es unánime. Algunos observadores de DeFi indicaron: dado que el protocolo admite por defecto una configuración tan extremadamente frágil como 1-of-1 y, además, carece de un umbral mínimo DVN obligatorio, no se puede atribuir toda la responsabilidad al usuario final. También se ve un patrón similar en el evento RAVE de esta semana poco antes: el límite de responsabilidades entre los proveedores de infraestructura (exchanges/protocolos) y la capa de aplicaciones (proyectos de emisión de tokens/proyectos) se ha convertido en una controversia estructural en el ecosistema DeFi de 2026.

En cuanto a los riesgos de liquidación para los usuarios de Kelp DAO afectados y para protocolos de préstamos como Aave, SparkLend, Fluid, etc., LayerZero no ofreció ninguna solución de compensación; Kelp DAO oficial tampoco ha anunciado aún detalles del reembolso. El foco de observación de la próxima semana será: el calendario de implementación de la política obligatoria de validadores múltiples de LayerZero, cuántos proyectos aún usan 1-of-1 y si Kelp puede compensar parcialmente las pérdidas de los usuarios desde sus reservas internas o con la ayuda de LayerZero.

Este artículo: la respuesta de LayerZero al incidente de Kelp DAO de 292 millones de dólares: se refiere a que Kelp eligió la configuración de 1-of-1 DVN, y los piratas informáticos aparecieron por primera vez en Cadena News ABMedia como el equipo Lazarus.