Qué es el ataque a Kelp DAO y por qué importa ahora
El 18 de abril de 2026, el ecosistema de las finanzas descentralizadas (DeFi) fue sacudido por un ciberataque de proporciones significativas. El protocolo de restaking líquido Kelp DAO, una plataforma que permite a los usuarios maximizar los rendimientos de sus activos cripto, sufrió un robo masivo de aproximadamente $290 millones en tokens rsETH. Este incidente, que TechCrunch describió como el mayor robo de criptomonedas del año hasta la fecha, ha sido rápidamente atribuido al infame Grupo Lazarus de Corea del Norte, según informes de CryptoPotato, The Defiant, Cybernews y Crypto Briefing.
La magnitud del robo no solo lo convierte en un titular preocupante para la comunidad cripto, sino que también subraya la creciente sofisticación de los ciberdelincuentes patrocinados por estados. El Grupo Lazarus, también conocido como TraderTraitor, es una amenaza persistente avanzada (APT) que ha estado implicada en el robo de miles de millones de dólares en criptomonedas a lo largo de los años, con el objetivo principal de financiar los programas militares y nucleares del régimen norcoreano. Solo en 2024, se les atribuyen robos por $1.34 mil millones en 47 ataques, sumando al menos $3.4 mil millones desde 2007. Este último golpe contra Kelp DAO demuestra su continua capacidad para identificar y explotar vulnerabilidades críticas en infraestructuras complejas como los puentes cross-chain.
El ataque importa por varias razones fundamentales. Primero, por la cifra: $290 millones representan una pérdida considerable que afecta directamente a los usuarios y la confianza en el espacio DeFi. Segundo, por el vector de ataque: no fue una simple debilidad en un contrato inteligente, sino una manipulación de la infraestructura subyacente de un puente cross-chain, utilizando la tecnología LayerZero. Tercero, por el efecto dominó: el rsETH robado fue utilizado como garantía en otros protocolos de préstamo como Aave V3, Compound V3 y Euler, generando una "deuda incobrable" de aproximadamente $236 millones en WETH y una crisis de liquidez. Aave, por ejemplo, experimentó retiros netos de $6.2 mil millones para el 20 de abril de 2026. Esto ilustra el riesgo sistémico inherente a la interconexión de protocolos en DeFi, donde el compromiso de un componente puede desencadenar una cascada de problemas en todo el ecosistema. Expertos en seguridad como Cyvers han calificado el evento como un "contagio cross-protocolo", lo que exige una reevaluación urgente de las medidas de seguridad y la arquitectura de estos sistemas financieros descentralizados.
Cómo funciona el vector de ataque
El ataque a Kelp DAO no fue una explotación directa del contrato principal del protocolo de restaking líquido, sino una sofisticada manipulación de la infraestructura del puente cross-chain que Kelp DAO utilizaba. Este puente se apoyaba en la tecnología de interoperabilidad de LayerZero, la cual facilita la transferencia de activos y mensajes entre diferentes blockchains.
Según la investigación de The Defiant y Cybernews, el Grupo Lazarus ejecutó un ataque que se centró en el "envenenamiento" o compromiso de la infraestructura de los nodos RPC (Remote Procedure Call) de LayerZero. En esencia, lograron alimentar datos falsos a la Red de Verificador Descentralizado (DVN) de LayerZero. Los DVN son componentes críticos en los puentes cross-chain, responsables de verificar la validez de las transacciones y los mensajes que se mueven de una cadena a otra. Al comprometer los nodos RPC, los atacantes pudieron manipular la información que llegaba al verificador, haciéndole creer que ciertas transacciones de retiro eran legítimas cuando no lo eran.
