DEV Community

Cover image for Del DDoS que tiraba exchanges al DDoS que silencia oráculos: cómo Lazarus se llevó $292M de KelpDAO en abril 2026
lu1tr0n
lu1tr0n

Posted on • Originally published at elsolitario.org

Del DDoS que tiraba exchanges al DDoS que silencia oráculos: cómo Lazarus se llevó $292M de KelpDAO en abril 2026

#webdev #security #programming #cybersecurity

El 18 de abril de 2026, el protocolo de restaking KelpDAO sufrió la pérdida de **116,500 rsETH —aproximadamente 292 millones de dólares al precio del momento— en lo que la firma forense Merkle Science describió como un robo coordinado en el que un ataque de denegación de servicio distribuido (DDoS) no fue el objetivo final, sino un componente quirúrgico dentro de una cadena de explotación. La unidad TraderTraitor del grupo norcoreano Lazarus, según la atribución pública recogida por The Defiant y la cobertura de Glassnode Insights, comprometió dos de los tres nodos RPC que validaban los mensajes cross-chain del bridge de KelpDAO en LayerZero, y lanzó simultáneamente un DDoS contra el tercero. Ese tercer nodo, mientras estuvo silenciado, dejó al sistema de verificación en manos exclusivas de los nodos comprometidos, que firmaron un mensaje falsificado y autorizaron el drenaje del bridge.

El caso es relevante mucho más allá de la pérdida monetaria. Marca un cambio de naturaleza en cómo el DDoS se utiliza contra la infraestructura de criptomonedas: ya no como una herramienta para tirar páginas web y generar pánico, sino como una palanca para corromper la integridad de redes de verificación que el sector asume confiables.

Lo que la mayoría de la gente entiende por DDoS

Un ataque de denegación de servicio distribuido, en su forma clásica, busca saturar un servidor o un servicio con tráfico desde miles de máquinas simultáneas hasta que deje de responder. El objetivo histórico ha sido la disrupción visible: dejar caer la web de un exchange durante horas, impedir que los usuarios retiren fondos en momentos de volatilidad o presionar a una empresa con interrupciones repetidas. La narrativa pública del DDoS contra plataformas crypto durante la última década ha encajado en ese molde —incidentes como las caídas de exchanges en momentos de alta demanda alimentaron la asociación entre "no puedo acceder a mi cuenta" y "está siendo atacado".

Esa narrativa no desapareció. Pero tampoco describe el caso más interesante de 2026.

El cambio de naturaleza: del bloqueo a la suplantación

El ataque a KelpDAO —documentado en piezas técnicas como el Hack Track de Merkle Science, el Anatomy of a Liquidity Freeze de Glassnode y el post-mortem público de LayerZero discutido en Whale Alert— ilustra un uso del DDoS que no encaja en el molde anterior. El servicio público de KelpDAO no se cayó. Su web siguió en línea. Sus dashboards no parpadearon. La integridad del puente entre cadenas, sin embargo, fue subvertida.

La razón es estructural. Los puentes cross-chain modernos descansan sobre redes de verificadores descentralizados que firman conjuntamente los mensajes que cruzan de una blockchain a otra. En el caso de LayerZero, el componente se llama Decentralized Verifier Network (DVN) y, en condiciones normales, varias entidades independientes deben acordar sobre el mismo hecho antes de que un mensaje se considere válido. Si un atacante puede silenciar a parte de esos verificadores —no destruir la red, solo apagar a algunos de sus participantes durante una ventana corta—, el resto puede ser suficiente para producir una firma aparentemente legítima sobre un mensaje falsificado.

El DDoS, en este contexto, no busca tumbar el servicio. Busca que el servicio siga operando con menos voces de las que necesita para ser confiable.

Anatomía del ataque a KelpDAO paso a paso

A partir de la forense pública, la cadena del 18 de abril se reconstruye en cinco etapas:

1. Compromiso de dos nodos RPC del DVN. Antes del incidente, Lazarus obtuvo control sobre dos de los tres nodos RPC que el DVN configurado por KelpDAO usaba para verificar mensajes en LayerZero. Las técnicas que llevaron a ese compromiso no han sido divulgadas en detalle público, pero la unidad TraderTraitor tiene historial documentado en operaciones de ingeniería social contra desarrolladores y operadores de infraestructura cripto.

2. DDoS contra el tercer nodo, el limpio. Mientras los dos nodos comprometidos seguían online, el tercero fue blanco de un DDoS sostenido durante la ventana del ataque. El efecto operativo fue que el DVN, que requería respuestas de sus participantes, perdió temporalmente el voto del nodo no comprometido.

3. Firma de un mensaje cross-chain falsificado. Con solo los dos nodos manipulados respondiendo, el DVN aceptó como válido un mensaje que ordenaba liberar fondos del bridge de KelpDAO en la otra cadena. El mensaje no provenía de una acción legítima de un usuario; era una construcción del atacante, firmada por verificadores que ya no eran independientes.

4. Drenaje del bridge. El bridge de KelpDAO procesó el mensaje firmado como si correspondiera a una transferencia legítima. 116,500 rsETH —cerca del 18% del supply circulante de ese token de restaking, según el análisis publicado por ainvest— salieron hacia la cadena destino bajo control del atacante.

5. Congelamiento parcial y respuesta del ecosistema. Arbitrum congeló aproximadamente 71 millones de dólares en ETH relacionados con la fuga, y diversos protocolos pausaron interacciones con los activos afectados. KelpDAO disputa públicamente la versión de los hechos del post-mortem de LayerZero; LayerZero argumenta haber advertido previamente que el modo de operación del DVN —donde un solo verificador era suficiente, por configuración de KelpDAO— era vulnerable a este patrón.

Por qué la configuración importaba más que el código

El detalle más elemental del caso es que KelpDAO operaba el DVN en lo que se conoce como configuración 1-of-1. Esa expresión describe un esquema en el que basta un único verificador respondiendo para que un mensaje sea aceptado. Es el polo opuesto a una configuración multifirma robusta —n-of-m con redundancia genuina—, y elimina, por diseño, la propiedad que justifica usar una red descentralizada en primer lugar. Si un solo nodo basta, no hay verdadera descentralización en la verificación.

LayerZero documentó públicamente, según la cobertura recogida por CoinInsider, que advertencias previas sobre los riesgos de operar con esta configuración existían y no fueron atendidas. KelpDAO, por su parte, sostiene una narrativa distinta sobre quién definió las opciones operativas y quién comunicó los riesgos. La disputa es importante porque el caso será citado durante años como ejemplo de cómo decisiones de configuración —no fallos del código del protocolo— concentran riesgo sistémico en infraestructura supuestamente descentralizada.

¿Y los exchanges centralizados? El panorama 2026

Una pregunta legítima al cubrir DDoS y cripto en 2026 es si los grandes exchanges centralizados —Binance, Coinbase, Kraken, Bybit— han sufrido caídas significativas atribuidas a denegación de servicio. La respuesta honesta, a partir de la cobertura pública revisada para esta nota, es que no hay reportes públicos relevantes en 2026 de outages prolongados de exchanges centralizados de primer nivel atribuidos directa y exclusivamente a DDoS. Esto no significa que no estén siendo atacados; significa que sus capas de mitigación —Cloudflare, AWS Shield Advanced, redes anti-DDoS dedicadas y arquitecturas multirregión— absorbieron lo que llegó sin que se tradujera en interrupciones reportables.

El caso del exchange Grinex en Kirguistán, del 17 de abril de 2026, fue cubierto por Reuters y BleepingComputer como un robo de aproximadamente 13.7 millones de dólares en USDT, pero la atribución pública apunta a un vector de hackeo, no a DDoS específicamente.

Lo que sí es público, y vale la pena documentar como contraste no-cripto, es la caída de Bluesky durante dos días seguidos a mediados de abril de 2026 por un ataque DDoS coordinado. Es la evidencia de que la herramienta clásica sigue funcionando contra plataformas con menos blindaje que un exchange de primer nivel; no es la evidencia de un cambio en la amenaza específica al sector cripto.

Las cifras del año: lo que mide Gcore Radar y Radware

Los reportes de la industria publicados durante el primer trimestre de 2026 confirman una escalada cuantitativa importante. El Gcore Radar Report registró un aumento de 154% año contra año en ataques DDoS al cierre de 2025 —1.3 millones de ataques en Q4 2025 frente a 512 mil en Q4 2024—, con un pico individual de 12 Tbps, seis veces el máximo del año anterior.

La distribución por sectores reportada por Gcore es reveladora:

  • Tecnología: 34% del volumen
  • Servicios financieros: 20%
  • Gaming: 19%

Las fuentes geográficas concentradas en las Américas —México 31%, Brasil 24% y Estados Unidos 20% en la capa de red— se atribuyen mayoritariamente a la actividad del botnet AISURU. El 82% de los ataques operó en capa de red, y el 75% duró menos de un minuto. Esa duración corta es un dato importante: confirma que el DDoS contemporáneo se diseña con frecuencia como ráfaga quirúrgica, no como bombardeo prolongado, lo que coincide con el uso instrumental que se observó contra el nodo limpio de KelpDAO.

El reporte global de Radware 2026 reporta de forma independiente un aumento de 168.2% año contra año en ataques de capa de red, y NETSCOUT documentó cambios cualitativos en la sofisticación de los vectores durante la segunda mitad de 2025.

La respuesta: Europol y la cadena de DDoS-for-hire

En abril de 2026, una operación coordinada bajo Europol entre 21 países derivó en el desmantelamiento de 53 dominios asociados a servicios de DDoS-for-hire y la identificación de aproximadamente 75,000 usuarios de esas plataformas, según la cobertura de Infosecurity Magazine. La operación es relevante porque ataca el suministro: los DDoS de bajo costo que pueden ser contratados por horas son la herramienta económica detrás de la mayor parte de los ataques oportunistas, incluidos los que apuntan a infraestructura financiera y cripto. Reducir esa oferta no elimina el problema, pero eleva el costo de operación.

Lección: cuando el DDoS deja de ser objetivo y se vuelve herramienta

El caso KelpDAO permite formular una lectura compacta del cambio de paradigma:

  • El DDoS clásico ataca disponibilidad. La métrica del éxito del atacante es el tiempo de inactividad.
  • El DDoS de 2026 contra infraestructura cripto ataca integridad indirectamente. La métrica del éxito es haber forzado una decisión de seguridad —recolección de firmas, consenso de oráculo, validación de mensaje— a operar sobre un subconjunto comprometido.

Para los proyectos DeFi, la implicación práctica es que la robustez de los verificadores no se mide solo por su disponibilidad agregada, sino por la robustez del sistema cuando algunos de ellos dejan de responder. Una configuración 1-of-1 colapsa a la primera ausencia. Una configuración n-of-m con n suficientemente alto soporta ráfagas DDoS sin ceder integridad.

Para los exchanges centralizados, la implicación es que las capas de mitigación tradicionales —proveedores anti-DDoS, scrubbing distribuido, balanceo multirregión— siguen siendo necesarias pero no suficientes. La infraestructura externa de la que dependen —oráculos, proveedores de datos de mercado, gateways de pago, custodios externos— hereda el mismo riesgo: si alguno de esos componentes puede ser silenciado selectivamente, la decisión que el exchange tome sobre datos parcialmente disponibles puede convertirse en el punto débil real.

Para el lector general, el cierre vale la pena retenerse: la próxima vez que alguien describa un DDoS contra una plataforma cripto, conviene preguntar qué dejó de responder mientras estaba el ataque. La respuesta a esa pregunta, no la duración del incidente, suele ser donde está la pérdida.

Fuentes

Top comments (0)