Cómo los hackers robaron 293 millones de dólares a KelpDAO: el ataque que explotó un único nodo débil
Los hackers robaron casi 300 millones de dólares al explotar el hecho de que KelpDAO confiaba toda su seguridad en un único nodo técnico. No se trató de una vulnerabilidad del protocolo LayerZero en sí, sino de una mala configuración por parte de uno de sus usuarios. Sin embargo, las consecuencias se extendieron por todo el ecosistema DeFi: los inversores se apresuraron a retirar sus fondos y el mercado volvió a cuestionar la verdadera confiabilidad de los puentes entre cadenas.
Por qué un solo nodo es como una única puerta a un banco
Imagina que construyes una caja fuerte para tu dinero. En lugar de instalar tres cerraduras de distintos fabricantes, instalas solo una —y le das la llave a tu vecino. Si tu vecino es comprometido o comete un error, tu caja fuerte se abre. Así funcionaba exactamente el sistema de seguridad de KelpDAO.
El protocolo LayerZero permite que distintas blockchains «hablen» entre sí, por ejemplo, para transferir tokens desde Ethereum a Solana. Para ello, depende de los llamados «nodos verificadores». Idealmente, debería haber varios verificadores independientes distribuidos en servidores separados. Si uno miente, los demás lo anulan.
Pero KelpDAO usaba solo un verificador de este tipo: el proporcionado directamente por LayerZero. Esto violaba el principio fundamental de «no poner todos los huevos en la misma canasta». Y los hackers aprovecharon esa oportunidad.
Cómo se desarrolló el ataque: mentiras, ataques DDoS y rastros que desaparecieron
La investigación reveló que los atacantes actuaron como espías profesionales:
- Primero, obtuvieron acceso a la lista de servidores (nodos RPC) que LayerZero usa para la comunicación.
- Luego, comprometieron dos servidores independientes alojados en proveedores distintos e instalaron software malicioso en ellos.
- A continuación, esos servidores comenzaron a enviar al sistema un mensaje falsificado: «Aquí está la transferencia de tokens», aunque en realidad no había ocurrido ninguna transferencia.
- Para asegurar que el sistema enrutara todas las solicitudes exclusivamente a esos servidores, los hackers lanzaron un ataque DDoS contra todos los demás nodos: los inundaron con solicitudes falsas y provocaron su sobrecarga.
- El sistema pasó automáticamente a los servidores comprometidos, que estaban «tranquilos» y «respondían», y aceptó su mentira como verdad.
- Finalmente, los atacantes borraron todo: registros, configuraciones y el propio código malicioso. No quedó ningún rastro.
Como resultado, los hackers obtuvieron 116 500 tokens rsETH (ETH restakeado), una versión «mejorada» de ETH utilizada en sistemas de restaking. Luego depositaron estos tokens como garantía en Aave V3 y pidieron prestado wETH. Aave aceptó la garantía como legítima, aunque el activo subyacente ya había sido robado. Esto generó una deuda sin respaldo —y desencadenó el pánico entre los usuarios.
¿Corea del Norte? Posiblemente, pero aún no hay pruebas
El equipo de LayerZero afirmó que el ataque fue probablemente llevado a cabo por el grupo Lazarus, una conocida organización de hackers con sede en Corea del Norte. Su subunidad, TraderTraitor, se especializa en robos de criptomonedas. Sin embargo, los analistas enfatizan: no existe evidencia directa que vincule a Lazarus con este incidente. La atribución se basa únicamente en patrones de ataque y técnicas de ofuscación.
Lo más importante: incluso si Lazarus estuvo involucrado, la vulnerabilidad no surgió del código de LayerZero, sino de la configuración de KelpDAO. El protocolo en sí nunca fue hackeado; simplemente fue mal utilizado.
Conclusiones clave
- KelpDAO dependía de un único nodo verificador, violando un principio fundamental de seguridad en DeFi.
- Los hackers ejecutaron un ataque de múltiples etapas: compromiso de servidores + ataque DDoS + suplantación de datos + eliminación de rastros.
- Se robaron 116 500 rsETH, equivalentes a unos 293 millones de dólares al precio de mercado.
- El ataque no afectó a otros proyectos de LayerZero —el problema era local, pero desencadenó temor sistémico.
- LayerZero se ha recuperado desde entonces, pero la confianza en los puentes entre cadenas sigue temporalmente afectada.
Qué significa esto para los usuarios comunes
Si tienes fondos en protocolos DeFi —especialmente en nuevos o menos conocidos— vale la pena verificar: ¿qué tan descentralizado es su modelo de seguridad? ¿Utilizan varias fuentes independientes de verificación? La mayoría de las plataformas importantes ya lo hacen correctamente, pero no todas.
Además, ataques como este nos recuerdan que, incluso cuando la tecnología subyacente funciona a la perfección, el error humano —en la configuración, en la selección de parámetros o en el juicio operativo— puede seguir haciendo fracasar todo. El mercado de criptomonedas está madurando, pero los riesgos persisten, especialmente cuando los equipos se apresuran a implementar nuevas funciones sin validar rigurosamente los fundamentos.
— Editorial Team