El intercambio de culpas más costoso de la DeFi en 2026 comenzó hoy. El 20 de abril, LayerZero publicó el post-mortem oficial del hackeo de 292 millones de dólares a Kelp DAO, y la atribución es contundente: Lazarus Group, concretamente el subgrupo TraderTraitor — el mismo hub cibernético norcoreano detrás del exploit de 1.400 millones de dólares en Bybit en 2025. Sin embargo, en el documento, LayerZero traslada la responsabilidad técnica a Kelp. Pocas horas después, Kelp revirtió la acusación.
LayerZero
Lazarus golpea dos veces en 18 días
El balance total es devastador. Drift Protocol en Solana, 1 de abril: 285 millones. Kelp DAO en Ethereum, 18 de abril: 292 millones. Total: más de 575 millones de dólares drenados por la misma unidad norcoreana en menos de tres semanas, usando vectores de ataque completamente distintos.
- Drift: ingeniería social sobre los firmantes multisig del Security Council, con un token CVT fabricado específicamente para el ataque
- Kelp: compromiso de dos nodos RPC de LayerZero más un DDoS sobre los backups para forzar el failover
- TraderTraitor se confirma como la entidad más peligrosa para la DeFi en 2026, con 18 ataques atribuidos desde inicio de año según Elliptic
Para conocer el caso Drift en detalle, puedes consultar nuestro análisis sobre la semana negra de las criptomonedas.
LayerZero contra KelpDAO: ¿quién cometió el error?
El núcleo de la disputa es la configuración 1/1 DVN — un único verificador autoriza los mensajes cross-chain, sin redundancia. LayerZero sostiene que recomendó reiteradamente a Kelp un setup multi-DVN. Kelp responde que esa configuración 1/1 era el default del repositorio GitHub de LayerZero, utilizado por el 40% de los protocolos sobre su infraestructura.
Preliminary indicators suggest attribution to Lazarus Group, more specifically TraderTraitor — LayerZero
We're fully aware of the rsETH exploit and have been in active remediation with the @KelpDAO team since the incident and continue to monitor. All other applications remain safe.
— LayerZero (@LayerZero_Core) April 19, 2026
We are still identifying the root cause alongside @_SEAL_Org and others. We will publish a complete…
Zach Rynes, community liaison de Chainlink, fue el primero en intervenir en X: LayerZero está esquivando la responsabilidad por su propia infraestructura DVN comprometida. La posición fue confirmada técnicamente por banteg de Yearn Finance, quien revisó el deployment público de LayerZero: la configuración de referencia incluye verificación de fuente única por defecto en Ethereum, BSC, Polygon, Arbitrum y Optimism.
El 47% de las apps LayerZero sigue siendo vulnerable
Los datos de Dune Analytics, publicados hoy, son la noticia dentro de la noticia. De las 2.665 OApps activas analizadas en los últimos 90 días, el 47% opera con un security floor 1-de-1. LayerZero ha anunciado la suspensión de la firma de mensajes para cualquier app con configuración 1/1: migración forzada para cientos de proyectos en las próximas semanas.
- TVL DeFi: caída de 99.500 a 86.300 millones en 48 horas (-13.200M$)
- Aave: 8.450 millones en depósitos retirados, mercados ETH/USDT/USDC al 100% de utilización
- Tokens afectados: AAVE -22%, ZRO -22%, LDO -19%, ENA -13%, COMP -10%
La pregunta que todo el ecosistema se está haciendo
Si el 47% de los bridges LayerZero sigue funcionando con la misma configuración frágil, ¿cuántos otros 292 millones de dólares harán falta antes de que la DeFi cross-chain replantee seriamente sus puntos únicos de fallo? La composabilidad es el superpoder de la DeFi, pero cuando un solo eslabón cede —RPC, DVN, multisig— cada protocolo conectado se convierte en una ficha de dominó. Para entender cómo protegerte en este escenario, nuestra Guía Web3 es el punto de partida adecuado.
