El hack de cerca de 292 millones de dólares en rsETH ha provocado una guerra de versiones en el ecosistema DeFi. Mientras Kelp DAO atribuye el ataque a fallos en la infraestructura de LayerZero, esta apunta a Corea del Norte como posible responsable del exploit.
Kelp DAO, el protocolo de liquid restaking, ha publicado nuevos detalles sobre el exploit ocurrido el pasado 18 de abril, en el que se robaron aproximadamente 116.500 rsETH, valorados en unos 292 millones de dólares en ese momento, lo que lo convierte en el mayor hack de DeFi en lo que va de año.
Dos nodos alojados por LayerZero
Según explica el protocolo en un comunicado en X, el ataque se produjo mediante un mensaje cross-chain falsificado que llegó al adaptador de bridging de rsETH. En concreto, el ataque comprometió dos nodos RPC alojados por LayerZero y lanzó un ataque DDoS simultáneo contra un tercer nodo. Kelp subrayó que el incidente afectó a la infraestructura de LayerZero y que sus propios sistemas no participaron en su operación ni mantenimiento.
Por su parte, LayerZero Labs ofrece una interpretación distinta de lo sucedido. En su análisis, la compañía apunta a un actor estatal altamente sofisticado y señala al grupo norcoreano Lazarus como posible responsable del ataque. Asimismo, sostiene que la configuración 1-of-1 que utilizó Kelp en su red de verificadores (DVN) permitió el exploit, al generar un punto único de fallo y contradecir sus recomendaciones de emplear múltiples verificadores.
Pausar los contratos
Kelp, por su parte, aseguró que detectó la anomalía y actuó rápidamente, pausando todos los contratos relevantes en Ethereum y redes de segunda capa, bloqueando las direcciones asociadas al atacante y coordinándose con el grupo de respuesta SEAL-911. Estas medidas permitieron contener el incidente y evitar un segundo intento de explotación que habría afectado a otros 40.000 rsETH, valorados en unos 95 millones de dólares.
En relación con la configuración técnica, Kelp señala que utilizó un sistema 1-of-1 en la red de verificadores descentralizados (DVN), que estaba documentado por LayerZero y se establecía como opción por defecto en nuevas implementaciones. El protocolo añadió que opera sobre esta infraestructura desde enero de 2024 y que ha mantenido comunicación continua con el equipo de LayerZero, incluyendo la validación de esta configuración durante su expansión a redes de segunda capa.
Kelp ha indicado que su prioridad es proteger a los usuarios y evitar efectos de contagio en el ecosistema DeFi. En este sentido, está trabajando con distintos actores del sector para evaluar el impacto del incidente y explorar medidas de mitigación.

