BroadChain se entera de que, el 24 de abril a las 04:16, el puente entre cadenas rsETH de Kelp DAO basado en LayerZero fue atacado en la madrugada del 19 de abril, resultando en la salida de 116,500 rsETH (aproximadamente 292 millones de dólares) de la red principal sin el correspondiente registro de quema. El atacante eludió la lógica de verificación lzReceive y falsificó mensajes entre cadenas para desencadenar directamente la liberación de reservas. En una hora, Kelp suspendió el contrato, pero si el ataque adicional posterior hubiera tenido éxito, las pérdidas totales habrían alcanzado los 391 millones de dólares.
La raíz de este ataque radica en que Kelp adoptó la configuración de seguridad más débil de LayerZero: 1/1 DVN, es decir, solo se necesita la firma de un único verificador para aprobar. Shalev Keren, cofundador de la empresa de criptografía de seguridad Sodot, señaló que esto es un "punto único de fallo" que no se puede reparar mediante auditorías. Ya en enero de 2025, un equipo había recordado en el foro de gobernanza de Aave la necesidad de expandir a múltiples verificaciones DVN, pero después de 15 meses aún no se había implementado. LayerZero posteriormente afirmó haber instado repetidamente a la actualización y anunció que dejaría de aprobar mensajes para aplicaciones con un solo verificador.
El atacante depositó los rsETH robados en plataformas de préstamos como Aave y Compound, obteniendo préstamos de más de 236 millones de dólares en activos reales. Después de que Aave congelara el mercado, se desencadenó una ola de retiros de más de 10 mil millones de dólares, y al menos 9 protocolos, como Fluid, Upshift y Lido Earn, activaron respuestas de emergencia. SparkLend ya había retirado rsETH en enero de 2026, destacando la divergencia en la percepción de riesgos de los activos LRT dentro de la industria.
LayerZero atribuyó el ataque al Grupo Lazarus de Corea del Norte, pero Cyvers no respaldó esta conclusión, ya que el software de nodo malicioso eliminó automáticamente las huellas, lo que dificultó la recopilación de pruebas. Estos dos incidentes (el ataque a Drift Protocol hace tres semanas con pérdidas de 285 millones de dólares) demuestran que el marco de seguridad actual de DeFi ya no puede hacer frente a las amenazas actuales. La industria necesita una actualización sistémica en el diseño de protocolos, el control de riesgos de los colaterales, la seguridad operativa y el intercambio de inteligencia.