Kelp DAO ha acusado al personal de LayerZero de aprobar la configuración de verificador 1-de-1 a la que se atribuye un exploit de 292 millones de dólares en su puente rsETH. El protocolo planea migrar del estándar OFT de LayerZero al CCIP de Chainlink. El hackeo ha sido vinculado al Grupo Lazarus de Corea del Norte.
Kelp DAO publicó un memorando titulado “Aclarando los hechos sobre el hackeo del puente LayerZero”, en el que afirma que LayerZero revisó sus configuraciones durante más de 2,5 años a través de ocho discusiones de integración sin advertir sobre los riesgos de seguridad en la configuración de verificador 1-de-1. Una captura de pantalla de Telegram muestra a un miembro del equipo de LayerZero declarando: “No hay problema en usar los valores predeterminados tampoco; solo menciono a [redactado] aquí ya que mencionó que quizás querían usar una configuración DVN personalizada para verificar mensajes, ¡pero dejaré eso a su equipo!”. Kelp argumenta que estos valores predeterminados eran la configuración DVN 1-de-1 de LayerZero Labs que permitió el exploit, el cual drenó 116.500 rsETH valorados en aproximadamente 292 millones de dólares. Según el protocolo, se procesaron dos transacciones fraudulentas adicionales que superaron los 100 millones de dólares antes de que Kelp pausara sus contratos. Kelp alega que tuvo que informar a LayerZero sobre el exploit, cuestionando el monitoreo de la empresa. Datos de CoinGecko que citan a Dune Analytics indican que el 47% de los contratos OApp activos de LayerZero utilizaban una configuración 1-de-1 similar, exponiendo más de 4.500 millones de dólares en valor. El análisis post-mortem de LayerZero del 19 de abril culpó a la dependencia de Kelp de LayerZero Labs como único verificador, calificándolo de contradicción con los modelos multi-DVN recomendados. Desde entonces, LayerZero ha prohibido las configuraciones 1-de-1 y afirmó que su protocolo funcionó según lo previsto. Un portavoz de LayerZero respondió: “La afirmación de que Kelp utilizó las configuraciones predeterminadas de LayerZero es inexacta. Desplegaron multiDVN y luego bajaron manualmente a una configuración 1/1”. El portavoz añadió que las exclusiones de los programas de recompensas por errores (bug bounty) cubren las elecciones a nivel de aplicación, como las redes de verificadores. En respuesta, Kelp está migrando rsETH al Protocolo de Interoperabilidad entre Cadenas (CCIP) de Chainlink. LayerZero no hizo más comentarios antes de la publicación, tal como informó por primera vez CoinDesk el 5 de mayo de 2026.
