LayerZero conecta el hackeo de KelpDAO con el grupo Lazarus

El puente entre cadenas de KelpDAO fue vaciado de 292 millones de dólares en un fin de semana. Un ataque de precisión quirúrgica, atribuido por LayerZero al temible grupo Lazarus de Corea del Norte. Sin embargo, detrás de este hackeo espectacular se esconde una falla de diseño que nadie quiso corregir.

Un ataque de orfebre firmado por Lazarus

El sábado pasado, los atacantes retiraron 116 500 rsETH, un token de restaking líquido respaldado en ether apostado, del puente entre cadenas de KelpDAO. 

El monto robado ronda los 292 millones de dólares. Desde el lunes, LayerZero publicó un análisis preliminar que señala al grupo norcoreano Lazarus, y más específicamente a su subunidad TraderTraitor, como «probablemente» responsable.

TraderTraitor no es un desconocido. La comunidad cripto reconoce a este grupo como el actor norcoreano más sofisticado en el targeting de criptomonedas. Su historial habla por sí solo: ha comprometido el puente Ronin de Axie Infinity y el exchange indio WazirX, entre otros.

La Oficina General de Reconocimiento de Corea del Norte supervisa todas estas ciberoperaciones y alberga varias unidades especializadas, incluyendo APT38 y DangerousPassword.

La técnica usada aquí fue de una elegancia formidable. Los piratas no rompieron el puente. Engañaron a su guardián. Concretamente, interceptaron dos de las líneas usadas por el verificador del puente para confirmar los retiros en Unichain, les suministraron una falsa señal de aprobación, y luego deshabilitaron las otras líneas, forzando al sistema a confiar únicamente en los datos corruptos.

«La bóveda estaba intacta. El guardián era honesto. El mecanismo de la puerta funcionaba correctamente«, resume Meir Dolev, director técnico de Cyvers. «La mentira fue susurrada directamente a la persona cuya palabra abrió la puerta.»

Una falla arquitectónica anunciada, ignorada

Este hackeo revela sobre todo un error flagrante de diseño. KelpDAO utilizaba un único verificador para aprobar las transferencias entrantes y salientes de su puente. LayerZero afirma haber «instado repetidamente» al protocolo a adoptar varios verificadores. En vano.

Shalev Keren, cofundador de la empresa de seguridad Sodot, es directo: «Se trataba de un punto único de fallo, sin importar cómo lo presente el marketing.» Un único punto de control comprometido fue suficiente para vaciar el puente. Ninguna auditoría podría haber cerrado esa brecha sin cuestionar la propia arquitectura.

Haoze Qiu, responsable de blockchain en Grvt, va más allá y apunta una responsabilidad compartida: «KelpDAO parece haber aceptado una configuración de seguridad con redundancia insuficiente para un activo de esta magnitud«, y LayerZero «también tiene una parte de responsabilidad», ya que el ataque involucró infraestructura relacionada con su pila de validadores.

Las consecuencias fueron inmediatas. Las retiradas masivas de rsETH obligaron al protocolo Aave a congelar sus mercados relacionados con este token, provocando una escasez de liquidez que retiró más de 10 mil millones de dólares del protocolo. 

Además, los piratas casi roban 100 millones adicionales en tres minutos, antes de ser detenidos por una lista negra de emergencia. Finalmente, el malware utilizado se autodestruyó tras la operación, eliminando archivos y registros.

Este hackeo se inscribe en una serie negra: en febrero de 2025, Lazarus robó 1.4 mil millones de dólares a Bybit, el mayor hackeo cripto de la historia. A principios de mes, 285 millones de dólares desaparecieron del protocolo Drift en Solana. DeFi sigue siendo un objetivo preferido para Pyongyang, y mientras la seguridad de los puentes entre cadenas no se vuelva una prioridad absoluta, estos ataques continuarán causando estragos.