Cómo Lazarus robó $293 millones a Kelp DAO sin hackear un solo contrato inteligente
El 18 de abril de 2026, el Grupo Lazarus norcoreano robó $293 millones de Kelp DAO engañando a su puente LayerZero para emitir 116.500 rsETH falsos. El daño colateral fue devastador: Aave sufrió una deuda incobrable de $230 millones por avales falsos, Arbitrum congeló de emergencia $71 millones, y el pánico provocó...
What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited oThe Kelp DAO exploit wasn't a smart contract bug—it was an attack on off-chain bridge infrastructure that no one had audited.
Prompt de IA
Create a landscape editorial hero image for this Studio Global article: What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited o. Article summary: On April 18, 2026, North Korea's Lazarus Group executed the largest DeFi exploit of the year, draining ~$293 million (116,500 rsETH) from Kelp DAO's cross-chain bridge by attacking off-chain LayerZero infrastructure — no. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Kelp DAO exploit,DeFi security 2026,cross-chain bridge risks,crypto hack analysis,LayerZero vulnerability,institutional crypto adoption. # Kelp DAO Exploit: How a $293 Million DeFi" source context "Kelp DAO Exploit: $293M DeFi Hack Exposes Critical Security Risks ..." Reference image 2: visual subject "# The $290
openai.com
A las 17:35 UTC del 18 de abril de 2026, un atacante ejecutó una única función en el puente multicadena de Kelp DAO, impulsado por LayerZero, y se llevó 116.500 rsETH, unos $293 millones que representaban el 18% de todo el suministro en circulación del token. Tardó 46 minutos. No estaba explotando un fallo en un contrato inteligente. Estaba atacando una infraestructura que nadie había pensado en auditar .
La brecha, atribuida al Grupo Lazarus de Corea del Norte, es el mayor exploit DeFi de 2026, superando el hackeo de $285 millones a Drift Protocol del 1 de abril, también obra de Lazarus, logrado tras seis meses de ingeniería social . Juntos, estos dos incidentes elevaron el total robado por Corea del Norte en criptomonedas a más de $578 millones en solo 18 días, acaparando el 76% de todo el valor hackeado en 2026 hasta ese momento .
Pero el ataque a Kelp DAO fue diferente. No fue una vulnerabilidad de código. Fue un fallo estructural en la forma en que las DeFi confían en los mensajes entre cadenas, y sus consecuencias expusieron un punto ciego que toda la industria intenta ahora corregir a contrarreloj.
Cómo funcionó el exploit: un verificador único y un mensaje falsificado
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
¿Cuál es la respuesta corta a "Cómo Lazarus robó $293 millones a Kelp DAO sin hackear un solo contrato inteligente"?
El 18 de abril de 2026, el Grupo Lazarus norcoreano robó $293 millones de Kelp DAO engañando a su puente LayerZero para emitir 116.500 rsETH falsos.
¿Cuáles son los puntos clave a validar primero?
El 18 de abril de 2026, el Grupo Lazarus norcoreano robó $293 millones de Kelp DAO engañando a su puente LayerZero para emitir 116.500 rsETH falsos. El daño colateral fue devastador: Aave sufrió una deuda incobrable de $230 millones por avales falsos, Arbitrum congeló de emergencia $71 millones, y el pánico provocó una fuga de $13.000 millones en liquidez del ecos...
¿Qué debo hacer a continuación en la práctica?
La gran lección estructural: las auditorías DeFi se habían centrado en los contratos inteligentes, ignorando la seguridad de los puentes, los nodos verificadores y las capas de mensajería, justo los eslabones más débi...
Kelp DAO es un protocolo de re-staking líquido que emite el token rsETH en más de 20 redes blockchain a través de un puente Omnichain Fungible Token de LayerZero . Cuando un usuario transfiere rsETH de vuelta a la red principal de Ethereum, la capa de mensajería de LayerZero envía una instruencia entre cadenas que ordena al contrato del puente liberar los tokens del depósito de garantía.
La seguridad de esa liberación depende de las Redes de Verificadores Descentralizados (DVN, por sus siglas en inglés), nodos externos a la cadena que certifican que el mensaje es válido. Kelp DAO configuró su puente con un umbral de firma 1-de-1, lo que significaba que un solo verificador era suficiente para autorizar cualquier mensaje entre cadenas .
El atacante comprometió los nodos RPC internos de Kelp y lanzó ataques de denegación de servicio (DDoS) contra los nodos externos, dejando operativo únicamente ese verificador único y alimentándolo con un mensaje falso que afirmaba que 116.500 rsETH habían sido quemados en la cadena de origen. El verificador certificó el mensaje. El contrato en Ethereum obedeció. Los fondos se liberaron a una dirección controlada por el atacante .
Chainalysis confirmó que cada transacción en la cadena parecía legítima para las herramientas de seguridad estándar, porque la brecha ocurrió completamente fuera de la cadena, a nivel de infraestructura y nodos . Las auditorías tradicionales de contratos inteligentes fueron irrelevantes.
El multisig de emergencia de Kelp pausó los contratos 46 minutos después del drenaje inicial, evitando unos $200 millones adicionales en ataques posteriores .
El blanqueo: cómo desaparecieron $220 millones en seis semanas
El atacante no se quedó quieto con los tokens robados. En cuestión de horas, 89.567 de los 116.500 rsETH sin respaldo se depositaron en Aave V3 como garantía, y el atacante pidió prestados aproximadamente 82.650 WETH y 821 wstETH (activos limpios y líquidos) antes de que alguien pudiera congelar las posiciones . Préstamos similares ocurrieron en Compound y Euler, extrayendo en total unos 74.000 ETH limpios .
Luego comenzó el blanqueo de capitales en serio.
Durante las seis semanas siguientes, el atacante blanqueó casi la totalidad de los fondos robados no congelados (aproximadamente $220 millones), dejando solo $1.7 millones rastreables en las carteras originales del explotador a fecha del 1 de junio de 2026 . La ruta de blanqueo siguió un patrón deliberado en dos etapas:
Primera etapa: Se usó Tornado Cash para cortar los vínculos iniciales en la cadena y ofuscar el gráfico de transacciones .
Segunda etapa: Los fondos se canalizaron a través de Wasabi Wallet para una mezcla al estilo CoinJoin en Bitcoin, y luego se reenviaron a Ethereum mediante protocolos entre cadenas, principalmente THORChain, que procesó unos $80 millones en intercambios de ETH a Bitcoin en una ventana de 24 horas, disparando su volumen de intercambio a $394 millones, aproximadamente 11 veces su promedio diario .
TRM Labs confirmó más tarde que THORChain operó como el puente preferido de forma consistente en los mayores atracos de Corea del Norte, sin que ningún operador estuviera dispuesto a congelar o rechazar transferencias durante la brecha de Bybit en 2025 ni el exploit de KelpDAO .
NS3.AI también señaló un detalle novedoso: los atacantes utilizaron el propio LayerZero para mover al menos $500.000 de los fondos robados entre cadenas durante la fase de blanqueo, lo que supone la primera instancia registrada en la que la misma aplicación se explotó tanto para el robo como para parte del lavado de dinero .
La congelación del Consejo de Seguridad de Arbitrum: $71 millones interceptados a medio camino
No todos los fondos escaparon. El 20 de abril de 2026, a las 23:26 (hora del este), el Consejo de Seguridad de Arbitrum ejecutó una acción de emergencia para congelar 30.766 ETH, aproximadamente $71 millones (cerca de una cuarta parte del total robado) que estaban en una dirección controlada por el atacante en Arbitrum One .
El Consejo actuó con información de las fuerzas de seguridad y movió los fondos a una cartera intermediaria controlada por la gobernanza. Nueve de los doce miembros del consejo votaron a favor de la congelación . Los fondos solo pueden liberarse mediante una votación formal de la gobernanza de Arbitrum .
El 8 de mayo de 2026, el Consejo de Seguridad de Arbitrum aprobó una propuesta conjunta para descongelar esos fondos, con el objetivo de acelerar la recuperación del colateral en rsETH y restaurar la liquidez para los usuarios afectados. El proceso de recuperación continúa con participación de las autoridades .
La llamada de atención de $230 millones para Aave y la reforma de su marco de riesgos
Aave absorbió el daño de segundo orden más severo. El atacante depositó 89.567 rsETH falsos en Aave V3 y pidió prestados aproximadamente $230 millones en activos limpios, préstamos que se convirtieron en deuda incobrable una vez que se reveló que el rsETH no tenía respaldo .
El Guardián del Protocolo de Aave congeló las reservas de rsETH y wrsETH en todos los despliegues de V3 aproximadamente a las 19:00 UTC del 18 de abril, estableciendo en cero las relaciones préstamo-valor en 11 mercados afectados, incluidos Ethereum, Arbitrum, Avalanche y Optimism . El préstamo en WETH (una pieza central de las finanzas descentralizadas) se congeló efectivamente en seis redes.
A mediados de mayo de 2026, más del 95% de los tokens sin respaldo se habían recuperado, y se espera que el déficit restante sea cubierto por la tesorería de la DAO de Aave y la coalición DeFi United . Aave restauró los límites normales de préstamo en WETH en seis redes V3 el 18 de mayo de 2026 .
Pero el verdadero legado es la respuesta de gobernanza. En el evento Consensus Miami 2026, Linda Jeng, Directora Legal y de Políticas de Aave Labs, anunció una revisión fundamental de los estándares de listado de activos y evaluación de garantías del protocolo . El nuevo marco se expande más allá de las métricas tradicionales de riesgo financiero para incluir:
Vulnerabilidades de ciberseguridad y postura de seguridad operativa
Dependencias de infraestructura de puentes y riesgos de verificador único
Dependencias de oráculos y exposición a contratos de terceros
Acuerdos de custodia y riesgos de interoperabilidad entre protocolos componibles
Aave ya ha ajustado 295 parámetros de riesgo y ha añadido defensas automatizadas que pueden reducir a cero la relación préstamo-valor de un activo cuando se superan umbrales de riesgo predefinidos . El protocolo está lanzando una revisión completa de cada activo listado en V3 y reescribiendo sus estándares de listado desde cero .
El panorama general: los puentes son ahora la principal superficie de ataque en DeFi
Lo de Kelp DAO no ocurrió de forma aislada. Fue el segundo exploit de puente de nueve cifras en 18 días, tras la brecha por ingeniería social de $285 millones de Drift Protocol el 1 de abril, también atribuida al Grupo Lazarus . Combinados, esos dos incidentes elevaron las pérdidas de DeFi a principios de 2026 por encima de los $840 millones .
Las consecuencias sistémicas empequeñecieron el robo directo. En las 48 horas posteriores al exploit de Kelp DAO, se evaporaron $13.210 millones en valor total bloqueado (TVL) en todo el ecosistema DeFi, con Aave perdiendo por sí solo el 43% de su TVL en 26 protocolos rastreados . Un pánico de retiradas por $5.400 millones barrió el ecosistema .
El ataque expuso lo que Chainalysis denominó un punto ciego estructural crítico: la seguridad en DeFi se había centrado abrumadoramente en las auditorías de contratos inteligentes, mientras que la infraestructura de puentes, la seguridad operativa de los nodos y las configuraciones de verificador único permanecían como vectores de riesgo en gran medida sin examinar .
La solución ya está en marcha. Los protocolos están migrando a configuraciones de puente con múltiples verificadores. Se espera que el nuevo manual de listado de Aave (que se publicará como una guía formal para emisores de activos) exija a los proyectos que divulguen la arquitectura de su puente, la descentralización de verificadores y las prácticas de seguridad de nodos antes de que derivados como rsETH puedan ser incorporados como garantía .
Lazarus explotó la brecha entre lo que las DeFi auditaban y lo que las DeFi realmente necesitaban para funcionar. La respuesta de la industria sugiere que esa brecha se está cerrando finalmente, aunque solo después de una lección de $293 millones.
blockhead.co
Kelp DAO Loses $292M in Largest DeFi Exploit of 2026, LayerZero ...
Comments
0 comments