Kelp DAO afirma que una configuración de validador único "predeterminada" de LayerZero ayudó a permitir un hackeo del puente rsETH de $290m, forzando un confuso juego de culpas y una migración de seguridad apresurada.

Kelp DAO ha rechazado la explicación oficial de LayerZero sobre un exploit del puente de $290 millones, argumentando que la configuración de "validador único" que permitió a un atacante llevarse 116.500 rsETH no fue una personalización imprudente sino una configuración predeterminada en las propias directrices de LayerZero.

El protocolo de re-staking de liquidez dijo a CoinDesk que la Red de Verificadores Descentralizados (DVN) 1-de-1 utilizada en su ruta cross-chain de rsETH "siguió los valores predeterminados documentados de LayerZero" y que la pila de validadores comprometida por el atacante "es parte de la propia infraestructura de LayerZero", en lugar de un tercero no verificado.

El ataque, que ocurrió el 18 de abril, acuñó o liberó 116.500 rsETH a una dirección controlada por el atacante — aproximadamente el 18% del suministro del token — y se tradujo en pérdidas de aproximadamente $290–$293 millones en ese momento, convirtiéndolo en el mayor exploit DeFi de 2026 hasta ahora.

Juego de culpas del validador único tras el exploit de rsETH

En su informe de investigación y declaraciones de seguimiento, LayerZero ha insistido en que "el protocolo de LayerZero no estaba roto", argumentando en cambio que Kelp DAO "desplegó un DVN de punto único de falla en producción" para un token con más de $1 mil millones en Valor total bloqueado (TVL).

La firma de interoperabilidad dijo que "operar una configuración de punto único de falla significaba que no había un verificador independiente para detectar y rechazar un mensaje falsificado" y afirmó que anteriormente había comunicado "mejores prácticas sobre diversificación de DVN" a Kelp DAO y otros socios.

Investigadores de seguridad y auditores, incluido el cofundador de SlowMist Yu Xian, han confirmado que la ruta del puente rsETH utilizó un DVN 1/1 — efectivamente una firma única — en lugar de una pila DVN 2/2 o multi-DVN, llamándola una vulnerabilidad de "punto único de firma única" que puede haber sido ayudada por ingeniería social.

Un análisis post-mortem detallado del sitio de seguimiento DeFi DeFiPrime señala que el modelo OApp de LayerZero permite a las aplicaciones elegir cuántos DVN deben aprobar un mensaje, con configuraciones 2-de-3 o 3-de-5 comúnmente recomendadas para implementaciones de alto valor, pero dice que el adaptador de Kelp "fue configurado para aceptar la certificación de un solo verificador" ejecutado por LayerZero Labs.

Ese diseño significaba que "una firma falsificada era suficiente para hacer que cualquier mensaje cross-chain pareciera real", permitiendo al atacante alimentar al puente con una instrucción falsa que imitaba un mensaje válido de otra cadena y activó la liberación de 116.500 rsETH "de la nada" a su billetera.

El equipo de Kelp DAO replica que implementaron el propio código público y valores predeterminados de LayerZero en múltiples redes y que el DVN explotado "fue operado por el propio LayerZero", lo que implica que la responsabilidad recae al menos parcialmente en el proveedor de infraestructura en lugar de únicamente en la aplicación.

LayerZero ahora ha tomado el paso inusual de prometer que "dejará de firmar mensajes para cualquier aplicación que use una configuración de validador único" y está forzando una "migración de seguridad" que requerirá que todas las OApps se trasladen a arquitecturas multi-DVN si quieren seguir usando el protocolo.

Las consecuencias van mucho más allá de un token de re-staking.

Como crypto.news informó en una historia anterior sobre el exploit de rsETH y la atribución de LayerZero del ataque al Grupo Lazarus de Corea del Norte, el incidente ha reavivado un debate más amplio sobre el diseño de puentes, configuraciones predeterminadas y quién en última instancia es responsable cuando la infraestructura cross-chain modular sale mal.

Las historias relacionadas de crypto.news que puede vincular en la copia incluyen cobertura del exploit Kelp DAO–LayerZero y la atribución a Lazarus, análisis de hackeos anteriores de puentes entre cadenas, e informes sobre cómo los protocolos de re-staking y staking líquido concentran el riesgo de Smart Contract en múltiples cadenas.