El sábado pasado la comunidad cripto despertó con una noticia que vuelve a poner sobre la mesa un problema recurrente: las billeteras de KelpDAO fueron vaciadas en una operación que, según las primeras investigaciones, apunta hacia un actor con amplios recursos y experiencia estatal. Los equipos de KelpDAO y LayerZero detectaron actividad anómala relacionada con rsETH, el token que representa posiciones restakeadas, y pocos días después quedó claro que más de 100.000 unidades de rsETH salieron del ecosistema, por un valor cercano a los 290 millones de dólares.
KelpDAO es un proyecto de finanzas descentralizadas (DeFi) enfocado en el restaking líquido: los usuarios depositan ETH, la plataforma re-stakea esos activos y emite rsETH para que los titulares sigan participando en la economía DeFi sin perder liquidez. Ese token además se movía entre cadenas usando la capa de mensajería de LayerZero, que permite comunicar eventos entre diferentes blockchains.
La primera reacción pública del proyecto fue pausar los contratos relacionados con rsETH en la red principal de Ethereum y en las soluciones de segunda capa. KelpDAO informó de una “actividad cross-chain sospechosa” y anunció que trabajaría con socios como LayerZero y Unichain para clarificar qué había pasado; pueden leerse sus comunicados iniciales en su canal público en X/Twitter.
El rastro en la cadena mostró que aproximadamente 116.500 rsETH fueron movidos hacia mezcladores para ocultar el origen, incluyendo pases por Tornado Cash, y que las transacciones no se correspondían con operaciones legítimas registradas en la cadena. Un investigador independiente compartió en X/Twitter el conteo de tokens y el valor estimado en dólares.
LayerZero, que gestiona la infraestructura de mensajería cross-chain, publicó indicadores técnicos sobre el método del ataque. Según su comunicado, los atacantes no rompieron directamente la criptografía del token sino que comprometieron componentes críticos de la capa de verificación de mensajes: algunos nodos RPC usados por el validador fueron envenenados con datos falsos, mientras que al mismo tiempo se realizaba un ataque de denegación de servicio (DDoS) contra nodos sanos para forzar la dependencia en las fuentes manipuladas.
El resultado fue que el sistema aceptó mensajes cross-chain falsos, confirmando operaciones que no existieron realmente en la cadena de origen y permitiendo transferir rsETH sin la autorización real de las cuentas afectadas. Esa combinación de manipulación de datos y saturación de servicios muestra que no siempre hace falta vulnerar contratos inteligentes: atacar la infraestructura periférica puede ser igualmente devastador.
En su evaluación preliminar, LayerZero apuntó a la participación de un actor muy sofisticado y con capacidad de planificación prolongada, mencionando de forma explícita indicios que recuerdan al grupo Lazarus, vinculado con Corea del Norte. En su declaración pública pueden consultarse sus palabras y el análisis inicial en su cuenta en X/Twitter.
La atribución a Lazarus no es una sorpresa para quienes siguen la historia reciente de cibercrimen a gran escala: ese colectivo ha sido relacionado con múltiples sustracciones millonarias en el ecosistema cripto en los últimos años, incluida otra operación masiva contra Drift que quedó valorada en cifras comparables. Firmas de análisis y gobiernos han documentado cómo estos actores combinan recursos técnicos y humanos para ejecutar campañas complejas.
El impacto práctica también alcanzó a protocolos que habían aceptado rsETH como colateral. Aave, por ejemplo, informó que bloqueó depósitos y préstamos que utilizaran rsETH hasta que la situación se aclarara; su anuncio oficial está disponible en X/Twitter. Esa reacción ilustra la cascada de precauciones que pueden activarse cuando un activo de referencia pierde confiabilidad: no solo el proyecto atacado sufre, sino quienes lo habían integrado en sus mercados.
Más allá del choque económico inmediato, este incidente vuelve a poner de relieve dos debilidades estructurales: la dependencia de nodos RPC externos y la fragilidad de algunos mecanismos de verificación cross-chain. Cuando una capa que centraliza la validación queda comprometida, toda la confianza que se había delegado en ella se deshace. La comunidad técnica lleva tiempo debatiendo soluciones: mayor descentralización de oráculos, sistemas de verificación redundantes y pruebas criptográficas que permitan verificar la autenticidad de mensajes sin depender de un pequeño conjunto de nodos confiables.
También reaparece la tensión entre trazabilidad y privacidad: la operación utilizó mezcladores como Tornado Cash para intentar ocultar el rastro de los fondos. Aunque todos los movimientos ocurren en blockchains públicas, la combinación de técnicas de ofuscación y la velocidad de las conversiones complica el trabajo de rastreo, aunque los laboratorios forenses en blockchain y las fuerzas de seguridad han conseguido en ocasiones seguir el dinero y recuperar activos cuando hay errores operativos del atacante.
Para usuarios y administradores de protocolos esto trae lecciones claras: la seguridad no termina en el contrato inteligente. Auditorías de contratos siguen siendo necesarias pero no suficientes; hay que pensar la seguridad como una cadena en la que cada eslabón —nodos RPC, mensajería entre cadenas, servicios de indexación y oráculos— debe ser resistente a ataques combinados y a sabotajes de disponibilidad.
Quienes se interesen por el análisis del fenómeno y por informes sobre actores estatales pueden consultar recursos de firmas especializadas y medios tecnológicos. LayerZero y KelpDAO publicaron actualizaciones en sus canales oficiales, y organizaciones como Elliptic o Chainalysis suelen publicar investigaciones sobre flujos ilícitos en cadenas. Para contexto periodístico más amplio, medios como Reuters y CoinDesk cubren regularmente estos incidentes y su trasfondo geopolítico.
En definitiva, el asalto a KelpDAO es un recordatorio crudo de que la innovación DeFi y la interoperabilidad entre cadenas traen beneficios reales, pero también amplían la superficie de ataque. La respuesta técnica y regulatoria que se adopte en los próximos meses será clave para reforzar la confianza de usuarios e inversores: sin controles y arquitectura resiliente, el riesgo de incidentes a gran escala seguirá siendo una amenaza latente.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...