Del DDoS que tiraba exchanges al DDoS que silencia oráculos: cómo Lazarus se llevó $292M de KelpDAO en abril 2026

From DDoS that crashed exchanges to DDoS that silences oracles: How Lazarus stole $292M from KelpDAO in April 2026

El 18 de abril de 2026, el protocolo de restaking KelpDAO sufrió la pérdida de 116,500 rsETH —aproximadamente 292 millones de dólares al precio del momento— en lo que la firma forense Merkle Science describió como un robo coordinado en el que un ataque de denegación de servicio distribuido (DDoS) no fue el objetivo final, sino un componente quirúrgico dentro de una cadena de explotación.

On April 18, 2026, the restaking protocol KelpDAO suffered the loss of 116,500 rsETH—approximately $292 million at the time—in what forensic firm Merkle Science described as a coordinated heist where a Distributed Denial of Service (DDoS) attack was not the end goal, but a surgical component within an exploitation chain.

La unidad TraderTraitor del grupo norcoreano Lazarus, según la atribución pública recogida por The Defiant y la cobertura de Glassnode Insights, comprometió dos de los tres nodos RPC que validaban los mensajes cross-chain del bridge de KelpDAO en LayerZero, y lanzó simultáneamente un DDoS contra el tercero. Ese tercer nodo, mientras estuvo silenciado, dejó al sistema de verificación en manos exclusivas de los nodos comprometidos, que firmaron un mensaje falsificado y autorizaron el drenaje del bridge.

The TraderTraitor unit of the North Korean Lazarus group, according to public attribution cited by The Defiant and coverage from Glassnode Insights, compromised two of the three RPC nodes validating cross-chain messages for KelpDAO’s bridge on LayerZero, while simultaneously launching a DDoS attack against the third. That third node, while silenced, left the verification system solely in the hands of the compromised nodes, which signed a forged message and authorized the draining of the bridge.

El caso es relevante mucho más allá de la pérdida monetaria. Marca un cambio de naturaleza en cómo el DDoS se utiliza contra la infraestructura de criptomonedas: ya no como una herramienta para tirar páginas web y generar pánico, sino como una palanca para corromper la integridad de redes de verificación que el sector asume confiables.

The case is relevant far beyond the monetary loss. It marks a shift in the nature of how DDoS is used against cryptocurrency infrastructure: no longer as a tool to take down websites and generate panic, but as a lever to corrupt the integrity of verification networks that the sector assumes to be reliable.

Lo que la mayoría de la gente entiende por DDoS

What most people understand by DDoS

Un ataque de denegación de servicio distribuido, en su forma clásica, busca saturar un servidor o un servicio con tráfico desde miles de máquinas simultáneas hasta que deje de responder. El objetivo histórico ha sido la disrupción visible: dejar caer la web de un exchange durante horas, impedir que los usuarios retiren fondos en momentos de volatilidad o presionar a una empresa con interrupciones repetidas.

A Distributed Denial of Service attack, in its classic form, seeks to saturate a server or service with traffic from thousands of simultaneous machines until it stops responding. The historical goal has been visible disruption: taking down an exchange’s website for hours, preventing users from withdrawing funds during moments of volatility, or pressuring a company with repeated outages.

La narrativa pública del DDoS contra plataformas crypto durante la última década ha encajado en ese molde —incidentes como las caídas de exchanges en momentos de alta demanda alimentaron la asociación entre “no puedo acceder a mi cuenta” y “está siendo atacado”. Esa narrativa no desapareció. Pero tampoco describe el caso más interesante de 2026.

The public narrative of DDoS against crypto platforms over the last decade has fit that mold—incidents like exchange crashes during high demand fueled the association between “I can’t access my account” and “it’s being attacked.” That narrative hasn’t disappeared. But it also doesn’t describe the most interesting case of 2026.

El cambio de naturaleza: del bloqueo a la suplantación

The shift in nature: from blocking to impersonation

El ataque a KelpDAO —documentado en piezas técnicas como el Hack Track de Merkle Science, el Anatomy of a Liquidity Freeze de Glassnode y el post-mortem público de LayerZero discutido en Whale Alert— ilustra un uso del DDoS que no encaja en el molde anterior. El servicio público de KelpDAO no se cayó. Su web siguió en línea. Sus dashboards no parpadearon. La integridad del puente entre cadenas, sin embargo, fue subvertida.

The attack on KelpDAO—documented in technical pieces such as Merkle Science’s Hack Track, Glassnode’s Anatomy of a Liquidity Freeze, and the public post-mortem from LayerZero discussed on Whale Alert—illustrates a use of DDoS that does not fit the previous mold. KelpDAO’s public service did not go down. Its website remained online. Its dashboards did not flicker. The integrity of the cross-chain bridge, however, was subverted.

La razón es estructural. Los puentes cross-chain modernos descansan sobre redes de verificadores descentralizados que firman conjuntamente los mensajes que cruzan de una blockchain a otra. En el caso de LayerZero, el componente se llama Decentralized Verifier Network (DVN) y, en condiciones normales, varias entidades independientes deben acordar sobre el mismo hecho antes de que un mensaje se considere válido.

The reason is structural. Modern cross-chain bridges rely on networks of decentralized verifiers that jointly sign messages crossing from one blockchain to another. In the case of LayerZero, the component is called a Decentralized Verifier Network (DVN), and under normal conditions, several independent entities must agree on the same fact before a message is considered valid.

Si un atacante puede silenciar a parte de esos verificadores —no destruir la red, solo apagar a algunos de sus participantes durante una ventana corta—, el resto puede ser suficiente para producir una firma aparentemente legítima sobre un mensaje falsificado. El DDoS, en este contexto, no busca tumbar el servicio. Busca que el servicio siga operando con menos voces de las que necesita para ser confiable.

If an attacker can silence a portion of those verifiers—not destroy the network, just turn off some of its participants for a short window—the remainder may be enough to produce an apparently legitimate signature on a forged message. DDoS, in this context, does not seek to take down the service. It seeks to keep the service operating with fewer voices than it needs to be reliable.

Anatomía del ataque a KelpDAO paso a paso

Anatomy of the KelpDAO attack step-by-step

A partir de la forense pública, la cadena del 18 de abril se reconstruye en cinco etapas: Based on public forensics, the chain of events on April 18 is reconstructed in five stages:

1. Compromiso de dos nodos RPC del DVN. Antes del incidente, Lazarus obtuvo control sobre dos de los tres nodos RPC que el DVN configurado por KelpDAO usaba para verificar mensajes en LayerZero.

2. Compromise of two DVN RPC nodes. Before the incident, Lazarus gained control over two of the three RPC nodes that the DVN configured by KelpDAO used to verify messages on LayerZero.

3. DDoS contra el tercer nodo, el limpio. Mientras los dos nodos comprometidos seguían online, el tercero fue blanco de un DDoS sostenido durante la ventana del ataque. El efecto operativo fue que el DVN, que requería respuestas de sus participantes, perdió temporalmente el voto del nodo no comprometido.

4. DDoS against the third, clean node. While the two compromised nodes remained online, the third was targeted by a sustained DDoS during the attack window. The operational effect was that the DVN, which required responses from its participants, temporarily lost the vote of the uncompromised node.

5. Firma de un mensaje cross-chain falsificado. Con solo los dos nodos manipulados respondiendo, el DVN aceptó como válido un mensaje que ordenaba liberar fondos del bridge de KelpDAO en la otra cadena.

6. Signing of a forged cross-chain message. With only the two manipulated nodes responding, the DVN accepted as valid a message ordering the release of funds from the KelpDAO bridge on the other chain.

7. Drenaje del bridge. El bridge de KelpDAO procesó el mensaje firmado como si correspondiera a una transferencia legítima. 116,500 rsETH salieron hacia la cadena destino bajo control del atacante.

8. Draining of the bridge. The KelpDAO bridge processed the signed message as if it corresponded to a legitimate transfer. 116,500 rsETH flowed to the destination chain under the attacker’s control.

9. Congelamiento parcial y respuesta del ecosistema. Arbitrum congeló aproximadamente 71 millones de dólares en ETH relacionados con la fuga. KelpDAO disputa públicamente la versión de los hechos del post-mortem de LayerZero; LayerZero argumenta haber advertido previamente que el modo de operación del DVN era vulnerable a este patrón.

10. Partial freeze and ecosystem response. Arbitrum froze approximately $71 million in ETH related to the leak. KelpDAO publicly disputes the version of events in LayerZero’s post-mortem; LayerZero argues it had previously warned that the DVN’s mode of operation was vulnerable to this pattern.

Por qué la configuración importaba más que el código

Why configuration mattered more than code

El detalle más elemental del caso es que KelpDAO operaba el DVN en lo que se conoce como configuración 1-of-1. Esa expresión describe un esquema en el que basta un único verificador respondiendo para que un mensaje sea aceptado. Es el polo opuesto a una configuración multifirma robusta y elimina, por diseño, la propiedad que justifica usar una red descentralizada en primer lugar. Si un solo nodo basta, no hay verdadera descentralización en la verificación.

The most elementary detail of the case is that KelpDAO operated the DVN in what is known as a 1-of-1 configuration. That expression describes a scheme where a single responding verifier is enough for a message to be accepted. It is the polar opposite of a robust multi-signature configuration and eliminates, by design, the property that justifies using a decentralized network in the first place. If a single node is enough, there is no true decentralization in verification.