Menos de tres semanas después de que hackers vinculados a Corea del Norte utilizaran ingeniería social para atacar a la firma de trading de criptos Drift, los hackers vinculados a la nación parecen haber llevado a cabo otra explotación importante con Kelp.
El ataque a Kelp, un protocolo de restaking vinculado a la infraestructura cross-chain de LayerZero, sugiere una evolución en cómo operan los hackers vinculados a Corea del Norte, no solo buscando errores o credenciales robadas, sino explotando los supuestos básicos integrados en sistemas descentralizados.
En conjunto, los dos incidentes apuntan a algo más organizado que una serie de hackeos aislados, mientras Corea del Norte continúa escalando sus esfuerzos para secuestrar fondos del sector cripto.
"Esta no es una serie de incidentes; es una cadencia", dijo Alexander Urbelis, director de seguridad de la información y asesor general de ENS Labs. "No puedes salir parcheando de un cronograma de adquisiciones".
Más de $500 millones fueron desviados a través de las explotaciones de Drift y Kelp en poco más de dos semanas.
Cómo fue vulnerado Kelp
En esencia, la explotación de Kelp no implicó romper el cifrado o descifrar claves. El sistema realmente funcionó como fue diseñado. Más bien, los atacantes manipularon los datos que alimentaban el sistema y lo obligaron a depender de esas entradas comprometidas, causando que aprobara transacciones que nunca ocurrieron realmente.
"El fallo de seguridad es simple: una mentira firmada sigue siendo una mentira", dijo Urbelis. "Las firmas garantizan autoría; no garantizan verdad".
En términos más simples, el sistema verificó quién envió el mensaje, no si el mensaje en sí era correcto. Para los expertos en seguridad, esto hace que sea menos sobre un nuevo hackeo inteligente y más sobre explotar cómo se configuró el sistema.
"Este ataque no se trató de romper la criptografía", dijo David Schwed, COO de la firma de seguridad blockchain SVRN. "Se trató de explotar cómo se configuró el sistema".
Un problema clave fue una elección de configuración. Kelp dependía de un solo verificador, esencialmente un verificador, para aprobar mensajes entre cadenas. Esto es porque es más rápido y simple de configurar, pero elimina una capa de seguridad crítica.
LayerZero ha recomendado desde entonces usar múltiples verificadores independientes para aprobar transacciones tras las consecuencias, similar a requerir múltiples firmas en una transferencia bancaria. Algunos en el ecosistema han rechazado ese enfoque, diciendo que la configuración predeterminada de LayerZero era tener un solo verificador.
"Si has identificado una configuración como insegura, no la envíes como opción", dijo Schwed. "La seguridad que depende de que todos lean los documentos y lo hagan correctamente no es realista".
Las consecuencias no se han limitado a Kelp. Como muchos sistemas DeFi, sus activos se utilizan en múltiples plataformas, lo que significa que los problemas pueden propagarse.
"Estos activos son una cadena de pagarés", dijo Schwed. "Y la cadena es tan fuerte como los controles en cada eslabón".
Cuando un eslabón se rompe, otros se ven afectados. En este caso, plataformas de préstamos como Aave que aceptaron los activos afectados como colateral ahora están lidiando con pérdidas, convirtiendo una sola explotación en un evento de estrés más amplio.
Marketing de descentralización
El ataque también expone una brecha entre cómo se comercializa la descentralización y cómo funciona realmente.
"Un solo verificador no está descentralizado", dijo Schwed. "Es un verificador descentralizado centralizado".
Urbelis lo expresa de manera más amplia.
"La descentralización no es una propiedad que tiene un sistema. Es una serie de elecciones", dijo. "Y la pila es tan fuerte como su capa más centralizada".
En la práctica, eso significa que incluso los sistemas que parecen descentralizados pueden tener puntos débiles, especialmente en las capas menos visibles como proveedores de datos o infraestructura. Esos son cada vez más donde los atacantes se están enfocando.
Ese cambio puede explicar los objetivos recientes de Lazarus.
El grupo ha comenzado a centrarse en la infraestructura cross-chain y de restaking, dijo Urbelis, las partes de las criptos que mueven activos entre sistemas o permiten que se reutilicen.
Estas capas son críticas pero complejas, a menudo situadas debajo de aplicaciones más visibles. También tienden a contener grandes cantidades de valor, convirtiéndolas en objetivos atractivos.
Si las olas anteriores de hackeos de criptos se enfocaron en exchanges o fallas obvias de código, la actividad reciente sugiere un movimiento hacia lo que podría llamarse la fontanería de la industria, los sistemas que conectan todo, pero son más difíciles de monitorear y más fáciles de configurar incorrectamente.
A medida que Lazarus continúa adaptándose, el mayor riesgo puede no ser las vulnerabilidades desconocidas, sino las conocidas que no están completamente abordadas.
La explotación de Kelp no introdujo un nuevo tipo de debilidad. Mostró cuán expuesto permanece el ecosistema a las familiares, especialmente cuando la seguridad se trata como una recomendación en lugar de un requisito.
Y a medida que los atacantes se mueven más rápido, esa brecha se está volviendo más fácil de explotar y mucho más costosa de ignorar.
Leer más: Los hackers de Corea del Norte están realizando robos masivos patrocinados por el estado para financiar su economía y programa nuclear
Fuente: https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
