Abril de 2026 entrará al registro del DeFi no por el tamaño de un único hack, sino por la cadencia con que tres protocolos cross-chain cayeron en nueve días — cada uno por un motivo aparentemente distinto, todos por el mismo motivo de fondo. El día 18, la KelpDAO perdió US$ 292 millones en rsETH en un exploit que no tocó una única línea de smart contract. Tres días después, la Volo Protocol tuvo US$ 3,5 millones drenados sin que ninguna auditoría pudiera haber atrapado el problema — porque el problema no estaba en el código auditado. El 27 de abril, la ZetaChain pausó todo el tráfico cross-chain del mainnet después de una vulnerabilidad en el contrato que controla las entradas y salidas de la red.
Entre los tres, US$ 295,8 millones se evaporaron. Y esa no es la parte más incómoda del balance. Según datos consolidados por CoinGecko, US$ 4,5 mil millones en valor on-chain aún están expuestos exactamente al mismo vector que derribó a KelpDAO — porque, conforme levantamiento de Dune Analytics, 47% de las aplicaciones ejecutándose sobre LayerZero siguen operando con la configuración vulnerable. El mensaje institucional del mes pasó desapercibido fuera de los círculos técnicos: cross-chain es el punto débil del ciclo 2026, y la industria gastó cinco años construyendo la infraestructura asumiendo que el ataque vendría por el lugar equivocado.
Capítulo 1: KelpDAO, US$ 292 Millones y el RPC que Mintió Para su Propio Dueño
Como la cobertura ON3X documentó este lunes, el caso KelpDAO fue rápidamente engullido por la narrativa del rescate — la coalición informal entre Aave, Morpho y Sky para contener el efecto cascada en préstamos colateralizados en rsETH. Pero la anatomía del exploit en sí merece disección propia, porque es el protocolo técnico para lo que sucedió en los nueve días siguientes.
El vector: 1-of-1 DVN y dos RPCs envenenados
El ataque no explotó bug en código Solidity. Explotó infraestructura off-chain. LayerZero, protocolo de mensajería cross-chain que viabiliza los bridges de KelpDAO, opera con Decentralized Verifier Networks (DVNs) — redes que firman la equivalencia entre lo que fue quemado en la chain de origen y lo que puede ser liberado en la chain de destino. KelpDAO eligió la configuración más barata y más simple disponible: 1-of-1 DVN. Solo un verificador necesita atestar un mensaje para que sea considerado válido.
El grupo norcoreano Lazarus — específicamente el subgrupo TraderTraitor, atribución hecha por la propia LayerZero con "preliminary confidence" — montó un ataque quirúrgico contra los RPC nodes que este único DVN consultaba. En paralelo, lanzó DDoS contra los RPCs externos redundantes, forzando al DVN a depender exclusivamente de los nodes internos comprometidos. En esos nodes, el atacante reemplazó el binario del op-geth por una versión modificada — una que reportaba verdad para el resto del mundo, pero mentía selectivamente para la IP del DVN de LayerZero, afirmando que 116.500 rsETH habían sido quemados en Unichain cuando ningún token siquiera había sido tocado.
El DVN firmó. El contrato OFTAdapter en la chain de destino hizo exactamente lo que fue programado para hacer: liberó los tokens. En 46 minutos, el multisig de KelpDAO pausó el bridge — bloqueando un segundo mensaje forjado que intentaría drenar otros 40 mil rsETH. Pero los primeros US$ 292 millones ya habían sido convertidos a Aave V3 como colateral, convertidos a WETH prestados, y despachados vía Tornado Cash y bridges secundarios.
La descripción de Chainalysis, socio editorial de ON3X, destila el problema en una frase: "Los sistemas cross-chain heredan la seguridad de su dependencia off-chain más frágil, y '1-of-1 anything' — validators, DVN, signers, RPC providers — ahora debe ser tratado como riesgo activo, no teórico".
La pelea que nadie quería tener: LayerZero × KelpDAO
Lo que vino en las 48 horas siguientes al exploit fue un blame game público raro entre dos proyectos DeFi de primera línea. LayerZero publicó declaración oficial atribuyendo el ataque a Lazarus y responsabilizando explícitamente a KelpDAO por la elección de la configuración 1-of-1: "LayerZero y otras partes externas previamente comunicaron mejores prácticas de diversificación de DVN a KelpDAO. A pesar de estas recomendaciones, KelpDAO eligió utilizar una configuración 1/1 DVN".
KelpDAO rebatió en horas. En comunicado retransmitido por CoinDesk, el equipo señaló que el quickstart oficial de LayerZero, el repositorio estándar en GitHub y la documentación introductoria aún presentaban 1-of-1 como la configuración predeterminada — exactamente la configuración que LayerZero ahora trata como inaceptable. El dato que sustenta el argumento de KelpDAO es vergonzoso para el protocolo de mensajería: aproximadamente 40% de las aplicaciones ejecutándose sobre LayerZero utilizan el mismo modelo. KelpDAO no fue el outlier — fue el promedio.
Como medida post-incidente, LayerZero anunció que su DVN dejará de firmar mensajes originados de aplicativos con configuración 1-of-1, e inició proceso de outreach para forzar la migración a multi-DVN. La política es correcta, pero llega al mismo tiempo que investigadores de Dune Analytics revelan que 47% de los OApps continúan siendo vulnerables — y CoinGecko traduce eso en US$ 4,5 mil millones en valor on-chain expuesto al mismo vector exacto. La ventana entre "anunciar la política" y "cerrar la vulnerabilidad en el ecosistema completo" es exactamente donde nacerá el próximo ataque.
Capítulo 2: Volo Protocol, US$ 3,5 Millones — La Clave Privada Que Ninguna Auditoría Atrapa
Tres días después de KelpDAO, el 21 de abril, la Volo Protocol — plataforma DeFi de bóvedas de yield ejecutándose sobre Sui — fue drenada en US$ 3,5 millones. Los activos salieron de tres bóvedas distintas: aproximadamente US$ 2,1 millones en WBTC, US$ 900 mil en XAUm y US$ 500 mil en USDC.
El punto técnico más importante es negativo: Volo no fue hackeada por un bug de smart contract. Los auditores GoPlus Security y ExVul confirmaron independientemente que el vector fue compromiso de una clave privada de operador privilegiado — una cuenta administrativa interna sin protecciones de hardware o multi-firma adecuadas. Los contratos auditados continúan funcionando como fueron diseñados; el atacante simplemente asumió el rol de "admin" que estos contratos legítimamente reconocen.
El equipo de Volo actuó rápido. En 30 minutos congeló aproximadamente US$ 500 mil de los fondos robados vía integración con la Sui Foundation, e bloqueó al día siguiente el intento del atacante de hacer bridge de 19,6 WBTC para fuera del ecosistema. Los otros US$ 28 millones en TVL fueron declarados seguros, y el equipo se comprometió a absorber íntegramente la pérdida de los usuarios — lo que es caballeresco, pero no cambia la lectura técnica.
La lectura crítica es que una clave privada de admin es un punto único de confianza fuera del código auditado — espejo directo de lo que hizo sangrar a KelpDAO. Los símbolos son diferentes (RPC, DVN, clave privada, contrato gateway), pero la estructura es idéntica: se confía en una única cosa, y esa única cosa puede ser comprometida sin que el smart contract jamás lo sepa.
Capítulo 3: ZetaChain, US$ 300 Mil — Cuando el Propio Gateway Firma Solo
El 27 de abril, la ZetaChain — protocolo construido nativamente alrededor de la promesa de universal blockchain y cross-chain por diseño — confirmó exploit en el contrato GatewayEVM, punto único de entrada y salida para todas las interacciones cross-chain del mainnet. El equipo pausó inmediatamente todo el tráfico cross-chain.
El valor financiero fue pequeño en términos absolutos: aproximadamente US$ 300 mil, equivalente a 139 ETH, y solo en billeteras internas del equipo. Ningún fondo de usuario fue tocado. Pero la anatomía del bug es lo que importa.
De acuerdo con análisis post-incidente de SlowMist, la función call del GatewayEVM no validaba adecuadamente acceso ni entrada. Un atacante construyó un contrato customizado de exploit que emitía el evento Called esperado por el gateway. Este evento, por diseño de la arquitectura ZetaChain, activa el threshold signature scheme que hace que los validators firmen colectivamente una transacción. En otras palabras: el atacante logró hacer que el propio gateway pidiera a los validators que firmaran operaciones que no debería pedir.
ZetaChain comunicó que ya bloqueó el vector y prepara parche completo. Pero la paralización total del tráfico cross-chain de uno de los principales blockchains de interoperabilidad del mercado — aunque sea por valor pequeño — expone la fragilidad arquitectónica: el gateway es, él mismo, el punto único de confianza. Comprometido el gateway, comprometida la red entera.
El Denominador Común: Cross-Chain Hereda la Seguridad de su Dependencia Más Frágil
Tres protocolos. Tres vectores tecnológicamente distintos. Pero, haciendo abstracción de los detalles, la forma es la misma:
- KelpDAO: punto único de confianza = un único DVN, dependiendo de RPCs comprometibles
- Volo Protocol: punto único de confianza = una clave privada admin externa al contrato auditado
- ZetaChain: punto único de confianza = un contrato gateway sin validación adecuada de origen
El balance de Abril Negro del DeFi que ON3X publicó en la primera mitad del mes cubría US$ 606 millones en pérdidas en 18 días. Ahora, con KelpDAO, Volo, ZetaChain sumados a Drift y UXLINK, el número real está por encima de US$ 900 millones en poco más de cuatro semanas. Cross-chain responde por la mayor parte del pastel — y el ritmo está acelerando, no desacelerando.
El dato que nadie quiere encarar es que las auditorías de smart contract no atrapan ninguno de estos tres vectores. CertiK no audita tu RPC. Trail of Bits no audita el procedimiento de custodia de tu clave privada de admin. Halborn no audita la configuración predeterminada que un equipo de developers eligió copiar del quickstart oficial. Las auditorías garantizan que el código hace lo que dice hacer — no garantizan que la infraestructura alrededor sea robusta.
Es la misma lección que Lazarus ya venía martillando en otros vectores. La campaña Mach-O Man, documentada por ON3X en abril, mostró al mismo grupo norcoreano usando malware bajo medida para macOS para robar credenciales de execs cripto vía reuniones falsas en Zoom. La operación Drift, que costó US$ 285 millones al protocolo de perpétuos en Solana, fue resultado de seis meses de ingeniería social — no de bug en smart contract. El DPRK descubrió antes que la industria que el camino fácil al tesoro es la infraestructura, no el protocolo. Y el resto del submundo cibernético está aprendiendo a copiar.
El paralelo fuera de cripto es instructivo. El hack en Vercel en marzo forzó a la industria Web3 a rotar API keys en masa — un ataque OAuth que comenzó en malware (Lumma Stealer) y cascadeó en docenas de plataformas porque la infraestructura compartida se volvió punto único. Cross-chain está repitiendo el mismo patrón dentro de DeFi.
KelpDAO, al fin, fue la Volo de LayerZero. Volo fue la KelpDAO de Sui. ZetaChain fue la Volo de sí misma. Los tres comparten el mismo error arquitectónico: concentraron confianza en un punto que ninguna auditoría interna conseguía validar como seguro.
La Perspectiva ON3X
- El ciclo 2026 será definido por peleas sobre configuraciones predeterminadas, no sobre código. La pelea LayerZero × KelpDAO sobre quién es responsable por la configuración 1-of-1 se repetirá en otros protocolos de mensajería, en otros proveedores de custodia institucional, en otros stablecoins multichain. Default se vuelve jurisprudencia — y quién tiene 47% del ecosistema ejecutándose en la configuración más frágil necesita decidir si la configuración predeterminada era una sugerencia o una promesa. LayerZero tomó la decisión correcta al dejar de firmar para 1-of-1, pero la industria necesita parar de aceptar "configuración predeterminada" como sinónimo de "configuración razonable".
- "Auditado" deja de ser señal técnica relevante para usuario institucional. Los tres casos tienen contratos auditados. El riesgo no estaba allí. El usuario sofisticado — especialmente fondos institucionales, tesorerías corporativas y plataformas de stablecoin tokenizado — va a necesitar exigir infrastructure attestations con el mismo rigor que hoy exige reportes de auditoría de código: quién opera los RPCs, quién custodia las claves admin, quién define las configuraciones predeterminadas, cuál es el procedimiento de rotación. Sin esto, el "audit badge" en el pie de página del sitio es teatro de seguridad.
- La onda de incidentes fuerza concentración — irónicamente. Forzar multi-DVN reduce riesgo, pero eleva el costo operacional. Forzar multisig admin con hardware dedicado reduce riesgo, pero concentra entre pocos proveedores capaces de operar la infra. La arquitectura cross-chain "permissionless y descentralizada" sigue un camino predecible: la próxima etapa de maduración es más centralizada, no menos. Arbitrum congelando US$ 71 millones del hacker del Kelp dio el primer recado de esa dirección. Los próximos vendrán.