LayerZero Labs publica una carta abierta para explicar los fallos relacionados con el hackeo de KelpDAO

LayerZero Labs publicó una carta abierta explicando sus fallos en comunicación y operaciones tras el hackeo de KelpDAO por parte del Grupo Lazarus. El ciberataque no afectó al protocolo de LayerZero Labs, pero sí afectó a sus sistemas internos, lo que llevó a la empresa a reconocer errores en operaciones anteriores. 

LayerZero Labs publicó su carta de disculpa el 8 de mayo de 2026. 

LayerZero admite el uso indebido pasado de multisig 

Alrededor del 19 de abril de 2026, el Grupo Lazarus atacó los nodos RPC internos de LayerZero Labs, que eran utilizados por su red DVN. Los atacantes corrompieron la fuente de verdad de estos RPC internos y simultáneamente lanzaron un ataque DDoS contra el proveedor de RPC externo de LayerZero Labs. LayerZero aclaró que el protocolo de LayerZero no se vio afectado durante este incidente.

Según informó Cryptopolitan, el hackeo afectó únicamente a una sola aplicación, que representa el 0,14% de todas las apps de LayerZero y el 0,36% del valor total de activos transferidos mediante puente en la plataforma. La brecha condujo al exploit de rsETH por valor de 300 millones de dólares dirigido a KelpDAO. 

En la disculpa, LayerZero Labs también comentó otro problema de seguridad ocurrido hace tres años y medio. En un caso, un firmante utilizó la billetera de hardware destinada a transacciones multifirma para una transacción individual de trading de meme coins de McPepes en Uniswap usando su billetera personal. 

Se reemplazó a un firmante, se cambiaron las billeteras y se implementaron medidas para prevenir ocurrencias similares en el futuro.

Esto estaba en directa contradicción con declaraciones públicas previas del cofundador de LayerZero, Bryan Pellegrino, quien había referido dichas actividades como "pruebas OFT" estándar menos de 24 horas antes. Algunos usuarios señalaron la discrepancia, indicando que las meme coins involucradas habían sido observadas en muchas transacciones desde la misma billetera multifirma durante bastante tiempo. 

Según informó Cryptopoltan, LayerZero aclaró que su mecanismo multifirma solo permite el control sobre la funcionalidad del Endpoint, incluyendo la adición de cadenas y las actualizaciones de configuración predeterminada de prueba.

LayerZero insta a los desarrolladores a mejorar la seguridad

LayerZero ha reiterado su arquitectura fundamental, diseñada para eliminar puntos únicos de fallo comunes en los puentes tradicionales. Cada aplicación puede gestionar de forma independiente su seguridad de extremo a extremo sin depender de LayerZero Labs. 

La empresa aconsejó a los desarrolladores tomar medidas concretas: fijar todas las configuraciones para evitar las configuraciones predeterminadas controladas por LayerZero Labs; aumentar las confirmaciones de bloque en cada cadena para minimizar los riesgos de reorganización; configurar los DVN con al menos dos (preferiblemente entre tres y cinco) partes independientes; y considerar la posibilidad de operar su propio DVN requerido.

La empresa también ha enumerado algunas suposiciones sobre confianza y vivacidad. Las aplicaciones predeterminadas de LayerZero Labs y el DVN que dependen de un único verificador dependen de toda la confianza depositada en la multifirma de LayerZero Labs. Los servicios de retransmisión de gas, como Essence y los ejecutores de LayerZero, afectan únicamente a la vivacidad.

Tras el evento, LayerZero Labs ya no admite DVN en la configuración 1/1; en cambio, los valores predeterminados de ruta se han actualizado a configuraciones de 5/5 o 3/3 donde sea posible, y el desarrollo de un cliente DVN en Rust está en curso.

Implicaciones para DeFi a raíz de la brecha de LayerZero 

La respuesta al ataque fue recibida con críticas inmediatas por su intento inicial de desviar la responsabilidad hacia sus socios. KelpDAO y Solv Protocol ya han migrado sus sistemas a Chainlink, y Beefy, Ethena, BitGo, Lombard y muchos otros están reconsiderando sus integraciones. 

Existen preocupaciones sobre la reducción de los volúmenes de transacciones mediante puente, las ganancias de Stargate y las recompras del token $ZRO.

LayerZero Labs se comprometió a aportar 5.000 ETH al plan de rescate DeFi United y otros 5.000 ETH para mantener los pools de liquidez de Aave en respuesta al ataque. Sin embargo, el incidente generó un debate más amplio sobre la seguridad en los protocolos cross-chain, a pesar de la disculpa expresada y la promesa de mejorar el umbral de multifirma, establecido en 7/10 mediante OneSig.

LayerZero Labs sostiene que el protocolo sigue siendo un instrumento esencial para realizar transacciones seguras y de gran volumen, pero será necesario esperar las próximas semanas para ver cómo reaccionan los desarrolladores y las organizaciones.

Tu banco está usando tu dinero. Tú solo recibes las migajas. Mira nuestro video gratuito sobre cómo convertirte en tu propio banco