El error que costó 293 millones de dólares no estaba en el código; entonces, ¿qué pasó con el "error de configuración de DVN", que provocó el mayor hackeo de 2026?

El 18 de abril de 2026, se vulneró el protocolo de re-staking de liquidez de Kelp DAO, y el atacante sustrajo 116.500 rsETH de un puente entre cadenas en cuestión de horas, lo que equivalía a aproximadamente 293 millones de dólares en ese momento. Todo el proceso se ejecutó de manera eficiente, con un ligero indicio de anomalía, desde un mensaje falsificado entre cadenas hasta el blanqueo de los fondos robados a través de los protocolos de préstamos Aave V3, Compound V3 y Euler, utilizando activos reales prestados. El atacante se dio a la fuga rápidamente con 236 millones de dólares en WETH ese mismo día. Aave, SparkLend y Fluid congelaron rápidamente el mercado de rsETH.

Esto supone el mayor evento de explotación de DeFi de 2026.

Sin embargo, hay un aspecto que distingue este ataque de la mayoría de los incidentes de piratería informática. El código del contrato inteligente de Kelp DAO no presentaba vulnerabilidades. El investigador de seguridad @0xQuit, involucrado en la investigación, declaró en X: "Por lo que entiendo actualmente, se trata de una combinación de dos problemas: una configuración DVN 1 de 1 y la vulneración del propio nodo DVN". En su comunicado oficial, LayerZero no culpó al código del contrato, sino que clasificó el problema como una "vulnerabilidad de rsETH" en lugar de una "vulnerabilidad de LayerZero".

293 millones de dólares no estaban incluidos en ninguna línea de código. Estaba oculto dentro de un parámetro mal configurado durante la implementación.

La lógica común detrás de las auditorías de seguridad de DeFi es: encontrar el contrato, leer el código, encontrar vulnerabilidades. Esta lógica funciona bastante bien al tratar con vulnerabilidades en la lógica del código. Herramientas como Slither y Mythril son muy eficaces para detectar patrones conocidos, como ataques de reentrada y desbordamientos de enteros. El modelo LLM, ampliamente promocionado para ayudar en las auditorías de código, también tiene cierta capacidad para identificar vulnerabilidades en la lógica empresarial (por ejemplo, rutas de arbitraje de préstamos flash).

Sin embargo, en esta matriz, dos filas están marcadas en rojo.

Las vulnerabilidades a nivel de configuración constituyen un punto ciego estructural en las auditorías basadas en herramientas. El problema con Kelp DAO no radicaba en un archivo .sol, sino en un parámetro —el umbral DVN— que se escribió durante el despliegue del protocolo. Este parámetro determina por cuántos nodos de validación debe pasar un mensaje entre cadenas para ser considerado válido. No está en el código, ni dentro del ámbito de escaneo de Slither, ni en la ruta de ejecución simbólica de Mythril. Según el estudio comparativo de Dreamlab Technologies, Slither y Mythril detectaron 5/10 y 6/10 vulnerabilidades en el contrato probado, respectivamente. Sin embargo, estos resultados se basan en la premisa de que las vulnerabilidades existen en el código. Según una investigación del IEEE, incluso a nivel de código, las herramientas existentes solo pueden detectar entre el 8 % y el 20 % de las vulnerabilidades explotables.

Desde la perspectiva del paradigma de auditoría actual, no existe ninguna herramienta que pueda "detectar si el umbral de DVN es razonable". Para detectar este tipo de riesgo de configuración, lo que se necesita no es un analizador de código, sino una lista de verificación de configuración especializada: "¿El número de DVN para el protocolo de cadena cruzada es ≥ N?" "¿Existe un requisito de umbral mínimo?" Actualmente, este tipo de cuestiones no están contempladas en herramientas estandarizadas y no existe un estándar ampliamente reconocido en el sector.

Dentro de la zona roja también se encuentra la seguridad de las claves y los nodos. En la descripción de @0xQuit, se menciona que un nodo DVN fue "comprometido", lo cual entra dentro de la Seguridad Operacional (OpSec) y está más allá del límite de detección de cualquier herramienta de análisis estático. Ya sea una firma de auditoría de primer nivel o una herramienta de escaneo de IA, ninguna tiene la capacidad de predecir si la clave privada de un operador de nodo se filtrará.

Este ataque activó simultáneamente dos zonas rojas en la matriz.

DVN es el mecanismo de verificación de mensajes entre cadenas de LayerZero V2, cuyo nombre completo es Red de Verificadores Descentralizados. Su filosofía de diseño consiste en confiar la toma de decisiones de seguridad a la capa de aplicación: cada protocolo que se conecta a LayerZero puede elegir el número de nodos DVN necesarios para confirmar antes de permitir el paso de un mensaje entre cadenas.

Esta "flexibilidad" ha creado un espectro.

Kelp DAO optó por el extremo izquierdo del espectro con una configuración 1 de 1, que requiere la confirmación de un solo nodo DVN. Esto significa una tolerancia a fallos de cero, ya que un atacante solo necesita comprometer ese único nodo para falsificar cualquier mensaje entre cadenas. Por el contrario, Apechain, que también está conectado a LayerZero, configuró más de dos DVN necesarios y no se vio afectado por este evento. La declaración oficial de LayerZero decía: "Todas las demás aplicaciones permanecen seguras", lo que implica que la seguridad depende de la configuración seleccionada.

La recomendación estándar de la industria es de al menos 2 de 3, donde un atacante necesitaría comprometer dos nodos DVN independientes simultáneamente para falsificar un mensaje, lo que aumenta la tolerancia a fallos al 33%. Una configuración de alta seguridad como la de 5 de 9 puede aumentar la tolerancia a fallos hasta el 55%.

El problema es que los observadores y usuarios externos no pueden ver esta configuración. También conocido como "compatible con LayerZero", el sistema backend podría tener una tolerancia a fallos que oscila entre el 0 % y el 55 %, ambas denominadas DVN en la documentación.

La experimentada inversora en criptomonedas Dovey Wan, que vivió el incidente de Anyswap, declaró directamente en la plataforma X: "El DVN de LayerZero resultó ser un validador 1/1..." Todos los puentes que cruzan cadenas deben someterse inmediatamente a una revisión de seguridad exhaustiva.

En agosto de 2022, se descubrió una vulnerabilidad en el puente entre cadenas de Nomad. Alguien replicó la transacción de ataque inicial, realizó pequeñas modificaciones y tuvo éxito, lo que provocó que cientos de direcciones replicaran la vulnerabilidad y se robaran 190 millones de dólares en cuestión de horas.

El análisis posterior al incidente realizado por Nomad atribuyó la vulnerabilidad a "inicializar la raíz de confianza como 0x00 durante una actualización rutinaria". Se trató de un error de configuración que se produjo durante la fase de despliegue. La lógica de validación de la prueba Merkle y el código en sí eran correctos; el problema se debía a un valor inicial incorrecto.

Si se combina este incidente con otros anteriores relacionados con Nomad, las vulnerabilidades de configuración/inicialización han provocado pérdidas de aproximadamente 482 millones de dólares. En la historia de las vulnerabilidades de puentes entre cadenas, la magnitud de esta categoría rivaliza ahora con la de incidentes de exposición clave (por ejemplo, Ronin, 624 millones de dólares; Harmony, 100 millones de dólares; Multichain, 126 millones de dólares, lo que suma un total de alrededor de 850 millones de dólares).

Sin embargo, el diseño de productos de la industria de auditoría de código nunca se ha centrado en esta categoría de vulnerabilidades.

La mayoría de los debates en el sector siguen girando en torno a errores de lógica en el código. Incidentes como la explotación de Wormhole, que le costó 326 millones de dólares debido a la elusión de la verificación de firmas, y la pérdida de Qubit Finance, de 80 millones de dólares debido a un evento de depósito falso, están bien analizados con informes detallados de vulnerabilidades, referencias CVE y pruebas de concepto reproducibles, lo que los hace adecuados para la capacitación y optimización de herramientas de auditoría. Los problemas de la capa de configuración no están codificados explícitamente, lo que dificulta su solución durante el ciclo de producción.

Un detalle destacable son los distintos mecanismos de activación de los dos eventos relacionados con la configuración. El error de Nomad se debió a que, sin darse cuenta, estableció un valor inicial incorrecto durante una actualización rutinaria, lo que constituyó un error. Por otro lado, el incidente único de Kelp DAO fue una elección de configuración activa: el protocolo LayerZero no prohibía esta opción y Kelp DAO no violó ninguna regla del protocolo. Tanto una configuración "conforme" como un valor inicial "erróneo" condujeron al mismo resultado final.

La lógica de ejecución de este ataque era sencilla. Un mensaje falsificado entre cadenas informó a la red principal de Ethereum que "alguien ya había bloqueado un activo equivalente en otra cadena", lo que desencadenó la creación de rsETH en la red principal. El rsETH acuñado en sí mismo no tenía un respaldo real, pero su registro en la cadena de bloques era "válido" y podía ser aceptado por los protocolos de préstamos como garantía.

Posteriormente, el atacante distribuyó 116.500 rsETH entre Aave V3 (Ethereum y Arbitrum), Compound V3 y Euler, obteniendo como préstamo un total de más de 236 millones de dólares en activos reales. Según diversas fuentes, el precio estimado por defecto para Aave V3, en su versión independiente, ronda los 177 millones de dólares. El módulo de seguridad Umbrella de Aave, utilizado para absorber las pérdidas por impago, cuenta con una reserva de WETH de alrededor de 50 millones de dólares con un índice de cobertura inferior al 30%, y el importe restante deberá ser asumido por los participantes en el staking de aWETH.

En última instancia, esto recae sobre aquellos que simplemente querían obtener algún interés en WETH.

En el momento de redactar este informe, LayerZero sigue llevando a cabo una investigación conjunta con la organización de respuesta a emergencias de seguridad SEAL Org y planea publicar un informe de análisis posterior al incidente en colaboración con Kelp DAO una vez que se obtenga toda la información. Kelp DAO ha declarado que está trabajando en una "remediación activa".

La vulnerabilidad que permite obtener 293 millones de dólares no está en el código. La frase "auditoría superada" no abarcaba la ubicación de ese parámetro.