惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

N
News and Events Feed by Topic
V
V2EX
博客园 - 【当耐特】
Vercel News
Vercel News
雷峰网
雷峰网
爱范儿
爱范儿
WordPress大学
WordPress大学
云风的 BLOG
云风的 BLOG
S
Securelist
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Microsoft Azure Blog
Microsoft Azure Blog
F
Full Disclosure
有赞技术团队
有赞技术团队
Hugging Face - Blog
Hugging Face - Blog
NISL@THU
NISL@THU
www.infosecurity-magazine.com
www.infosecurity-magazine.com
Attack and Defense Labs
Attack and Defense Labs
Application and Cybersecurity Blog
Application and Cybersecurity Blog
Hacker News - Newest:
Hacker News - Newest: "LLM"
Microsoft Security Blog
Microsoft Security Blog
腾讯CDC
P
Proofpoint News Feed
B
Blog
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
K
Kaspersky official blog
I
InfoQ
Google Online Security Blog
Google Online Security Blog
L
LINUX DO - 最新话题
Project Zero
Project Zero
Engineering at Meta
Engineering at Meta
V
Visual Studio Blog
AI
AI
Schneier on Security
Schneier on Security
B
Blog RSS Feed
T
Tor Project blog
H
Help Net Security
H
Hackread – Cybersecurity News, Data Breaches, AI and More
L
LINUX DO - 热门话题
阮一峰的网络日志
阮一峰的网络日志
S
Security @ Cisco Blogs
T
Threat Research - Cisco Blogs
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
C
Cyber Attacks, Cyber Crime and Cyber Security
G
Google Developers Blog
Google DeepMind News
Google DeepMind News
V2EX - 技术
V2EX - 技术
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
A
Arctic Wolf
Webroot Blog
Webroot Blog
Recent Commits to openclaw:main
Recent Commits to openclaw:main

DEV Community

Authentication Security Deep Dive: From Brute Force to Salted Hashing (With Java Examples) Why AI Systems Don’t Fail — They Drift Spilling beans for how i learn for exam😁"Reinforcement Learning Cheat Sheet" I Replaced Chrome with Safari for AI Browser Automation. Here's What Broke (and What Finally Worked) How Python Borrows Other People's Work The $40 Architecture: Processing 1 Billion API Requests with 99.99% Uptime Vibe Coding: A Workflow Guide (From Zero to SaaS) Most webhook security guides protect the wrong side. The scary part is delivery. Headless CMS for TanStack Start: Build a Blog with Cosmic EU Age Verification App "Hacked in 2 Minutes" — What Actually Happened Comfy Cloud’s delete function does not actually remove files Running AI Models on GPU Cloud Servers: A Beginner Guide Event-driven media intelligence with AWS Step Functions and Bedrock I scored 500 AI prompts across 8 quality dimensions — here's what broke How to Call Google Gemini API from Next.js (Free Tier, No Backend Needed) The Portal Protocol: Reclaiming Human Connection in the Age of AI How to Fix Your Team's Scattered Knowledge Problem With a Self-Hosted Forum Intro to tc Cloud Functors: A Graph-First Mental Model for the Modern Cloud Designing Multi-Tenant Backends With Both Ownership and Team Access I Built a Neumorphic CSS Library with 77+ Components — Here's What I Learned PostgreSQL Performance Optimization: Why Connection Pooling Is Critical at Scale Cómo construí un SaaS multi-rubro para gestionar expensas en Argentina con FastAPI + Vue 3 🚀 I Built an Ethical Hacking Scanner Tool – Open Source Project I Replaced /usage and /context in Claude Code With a Single Statusline A Pythonic Way to Handle Emails (IMAP/SMTP) with Auto-Discovery and AI-Ready Design I Collected 8.9 Million Polymarket Price Points — Here's What I Found About How Markets Really Move EcoTrack AI — Carbon Footprint Tracker & Dashboard Everyone's Using AI. No One Agrees How. 5 self-hosted ebook managers worth trying in 2026 Building Your First AI Agent with LangChain: From Chatbot to Autonomous Assistant Common SOC 2 Failures (Real World) Stop Vibe-Checking Your AI App: A Practical Guide to Evals How to Use SonarQube and SonarScanner Locally to Level Up Your Code Quality Your Next To-Do App Is Dead — I Replaced Mine with an OpenClaw AI Sign a Nostr event in 60 lines of Python using coincurve — no nostr-sdk, no nbxplorer, no rust toolchain ITGC Audit Explained Like You’re in Big 4 Patch Tuesday abril 2026: Microsoft parcha 163 vulnerabilidades y un zero-day en SharePoint Stop scraping everything: a better way to track competitor price changes Listing on MCPize + the Official MCP Registry while routing payments OUTSIDE the marketplace — how I kept 100% of my x402 revenue Building an AI-Powered Risk Intelligence System Using Serverless Architecture Why We Ripped Function Overloading Out of Our AI Toolchain Testing AI-Generated Code: How to Actually Know If It Works SaaS Churn Is Killing Your Business. Here Is What to Do About It (Without a Support Team) The Speed of AI Is No Longer Linear - And Self-Improving Models Are Why How to Implement RBAC for MCP Tools: A Practical Guide for Engineering Teams From Standard Quote to Persuasive Proposal: AI Automation for Arborists I built a CLI that scaffolds complete multi-tenant SaaS apps Axios CVE-2025–62718: The Silent SSRF Bug That Could Be Hiding in Your Node.js App Right Now The dashboard that ended our friendship Data Pipelines Explained Simply (and How to Build Them with Python) The Hidden Cost of AI Systems Nobody Talks About. undefined vs undeclared, and how typeof behaves Switching from file-based jobs to NATS/Kafka in Rust without changing code io_uring Adventures: Rust Servers That Love Syscalls Why Agentic AI is Killing the Traditional Database The POUR principles of web accessibility for developers and designers Quantum Neural Network 3D — A Deep Dive into Interactive WebGL Visualization How To Install Caveman In Codex On macOS And Windows Automation Pipeline Reliability: Why Your Workflow Breaks When Nobody Is Watching I Built an 'Open World' AI Coding Agent — It Works From ANY Folder From Freelancing to Product: A Tech Service Company's SaaS Transformation China's AI Giants: Adding Tencent Hunyuan & ByteDance Doubao to AI University (74 Providers) On the Vibe Coders and Their Lies clerk: Auto-Summarize Your Claude Code Sessions AI Weekly — 2026/04/10–04/17 | The Model Lockdown Is Here, but the Toolchain Is the Real Battleground AI 週報 — 2026/04/10–2026/04/17 模型封鎖潮來了,但工具鏈才是真戰場 Maybe this is how Open-Source apps are born... 🚀 Fine-Tune LLMs with LoRA and QLoRA: 2026 Guide tRPC v11 + Next.js App Router: End-to-End Type Safety Without the Boilerplate ShadCN UI in 2026: Why I Stopped Installing Component Libraries and Started Owning My Components SaaS Billing in React Server Components: Stripe + Supabase Without a Single `useEffect` Join our DEV Weekend Challenge — $1,000 in Prizes Across TEN winners! Submissions Due April 20 at 6:59 AM UTC. Implementing FSRS Spaced Repetition in Flutter + Supabase — Adding Memory Science to an AI Learning App "I Texted My Localhost From the Train — Claude Code Fixed the Bug Before I Got Home" I Built a Sales Prep AI and It Went Deeper Than Expected Design to Code #2: One JSON, Eleven Outputs Solving the 100M-Row Problem: A Summary Table Pattern for High-Volume Push Notification Logs Flutter Web With Wasm: What Actually Changes For Developers I Built 50 Royalty-Free Soundtracks for My Side Project in a Weekend Using AI Music Generation The Vibe Coding Security Checklist: 7 Things to Check Before You Ship Stop Letting Googlebot Guess Fix Your React App's SEO Right Desconstruindo o Streaming do LinkedIn: Como Criar um Engine de Extração de Vídeo de Alta Performance com HLS e FFmpeg (EDA Part-1) EDA (Exploratory Data Analysis) Explained With Real Life — Why Looking at Your Data Is the Most Important Step in Machine Learning Brand Relationship Management at Scale: Our 4-Touch Outreach System for 200+ Brands Why String.fromEnvironment() Might Return an Empty String in Dart JGuardrails 1.0.0 — Hardening Java LLM Apps Against Jailbreaks, Toxicity, and Prompt Injection Plan and Schedule a Full Week of Threads Content From One Claude Conversation Coding Cat Oran Ep3, Five Tables Changed Everything Updated: BFF Pattern I'm done watching freelancers get buried by 200 proposals. So I'm building the alternative. This is my first post BFS Algorithm in Java Step by Step Tutorial with Examples Tracking LLM Pricing Monthly: An Open Dataset for 22 AI Models How We Measure Content ROI on a Comparison Site: Revenue Attribution Without Perfect Data Introducing Nova AI Ops: The AI-Native Operating System for SRE Teams I built a free desktop video downloader for Windows — Grabbit How Talkie OCR Helps Vision-Impaired & Dyslexic Users Read the World Around Them VRCFaceTracking安装和iPhone面捕配置教程,有bug Even CrowdStrike Can't See Your Agents The Automation Gold Rush: What n8n Workflows and Claude Are Opening Up for Developers Right Now
Del DDoS que tiraba exchanges al DDoS que silencia oráculos: cómo Lazarus se llevó $292M de KelpDAO en abril 2026
lu1tr0n · 2026-05-04 · via DEV Community

El 18 de abril de 2026, el protocolo de restaking KelpDAO sufrió la pérdida de **116,500 rsETH —aproximadamente 292 millones de dólares al precio del momento— en lo que la firma forense Merkle Science describió como un robo coordinado en el que un ataque de denegación de servicio distribuido (DDoS) no fue el objetivo final, sino un componente quirúrgico dentro de una cadena de explotación. La unidad TraderTraitor del grupo norcoreano Lazarus, según la atribución pública recogida por The Defiant y la cobertura de Glassnode Insights, comprometió dos de los tres nodos RPC que validaban los mensajes cross-chain del bridge de KelpDAO en LayerZero, y lanzó simultáneamente un DDoS contra el tercero. Ese tercer nodo, mientras estuvo silenciado, dejó al sistema de verificación en manos exclusivas de los nodos comprometidos, que firmaron un mensaje falsificado y autorizaron el drenaje del bridge.

El caso es relevante mucho más allá de la pérdida monetaria. Marca un cambio de naturaleza en cómo el DDoS se utiliza contra la infraestructura de criptomonedas: ya no como una herramienta para tirar páginas web y generar pánico, sino como una palanca para corromper la integridad de redes de verificación que el sector asume confiables.

Lo que la mayoría de la gente entiende por DDoS

Un ataque de denegación de servicio distribuido, en su forma clásica, busca saturar un servidor o un servicio con tráfico desde miles de máquinas simultáneas hasta que deje de responder. El objetivo histórico ha sido la disrupción visible: dejar caer la web de un exchange durante horas, impedir que los usuarios retiren fondos en momentos de volatilidad o presionar a una empresa con interrupciones repetidas. La narrativa pública del DDoS contra plataformas crypto durante la última década ha encajado en ese molde —incidentes como las caídas de exchanges en momentos de alta demanda alimentaron la asociación entre "no puedo acceder a mi cuenta" y "está siendo atacado".

Esa narrativa no desapareció. Pero tampoco describe el caso más interesante de 2026.

El cambio de naturaleza: del bloqueo a la suplantación

El ataque a KelpDAO —documentado en piezas técnicas como el Hack Track de Merkle Science, el Anatomy of a Liquidity Freeze de Glassnode y el post-mortem público de LayerZero discutido en Whale Alert— ilustra un uso del DDoS que no encaja en el molde anterior. El servicio público de KelpDAO no se cayó. Su web siguió en línea. Sus dashboards no parpadearon. La integridad del puente entre cadenas, sin embargo, fue subvertida.

La razón es estructural. Los puentes cross-chain modernos descansan sobre redes de verificadores descentralizados que firman conjuntamente los mensajes que cruzan de una blockchain a otra. En el caso de LayerZero, el componente se llama Decentralized Verifier Network (DVN) y, en condiciones normales, varias entidades independientes deben acordar sobre el mismo hecho antes de que un mensaje se considere válido. Si un atacante puede silenciar a parte de esos verificadores —no destruir la red, solo apagar a algunos de sus participantes durante una ventana corta—, el resto puede ser suficiente para producir una firma aparentemente legítima sobre un mensaje falsificado.

El DDoS, en este contexto, no busca tumbar el servicio. Busca que el servicio siga operando con menos voces de las que necesita para ser confiable.

Anatomía del ataque a KelpDAO paso a paso

A partir de la forense pública, la cadena del 18 de abril se reconstruye en cinco etapas:

1. Compromiso de dos nodos RPC del DVN. Antes del incidente, Lazarus obtuvo control sobre dos de los tres nodos RPC que el DVN configurado por KelpDAO usaba para verificar mensajes en LayerZero. Las técnicas que llevaron a ese compromiso no han sido divulgadas en detalle público, pero la unidad TraderTraitor tiene historial documentado en operaciones de ingeniería social contra desarrolladores y operadores de infraestructura cripto.

2. DDoS contra el tercer nodo, el limpio. Mientras los dos nodos comprometidos seguían online, el tercero fue blanco de un DDoS sostenido durante la ventana del ataque. El efecto operativo fue que el DVN, que requería respuestas de sus participantes, perdió temporalmente el voto del nodo no comprometido.

3. Firma de un mensaje cross-chain falsificado. Con solo los dos nodos manipulados respondiendo, el DVN aceptó como válido un mensaje que ordenaba liberar fondos del bridge de KelpDAO en la otra cadena. El mensaje no provenía de una acción legítima de un usuario; era una construcción del atacante, firmada por verificadores que ya no eran independientes.

4. Drenaje del bridge. El bridge de KelpDAO procesó el mensaje firmado como si correspondiera a una transferencia legítima. 116,500 rsETH —cerca del 18% del supply circulante de ese token de restaking, según el análisis publicado por ainvest— salieron hacia la cadena destino bajo control del atacante.

5. Congelamiento parcial y respuesta del ecosistema. Arbitrum congeló aproximadamente 71 millones de dólares en ETH relacionados con la fuga, y diversos protocolos pausaron interacciones con los activos afectados. KelpDAO disputa públicamente la versión de los hechos del post-mortem de LayerZero; LayerZero argumenta haber advertido previamente que el modo de operación del DVN —donde un solo verificador era suficiente, por configuración de KelpDAO— era vulnerable a este patrón.

Por qué la configuración importaba más que el código

El detalle más elemental del caso es que KelpDAO operaba el DVN en lo que se conoce como configuración 1-of-1. Esa expresión describe un esquema en el que basta un único verificador respondiendo para que un mensaje sea aceptado. Es el polo opuesto a una configuración multifirma robusta —n-of-m con redundancia genuina—, y elimina, por diseño, la propiedad que justifica usar una red descentralizada en primer lugar. Si un solo nodo basta, no hay verdadera descentralización en la verificación.

LayerZero documentó públicamente, según la cobertura recogida por CoinInsider, que advertencias previas sobre los riesgos de operar con esta configuración existían y no fueron atendidas. KelpDAO, por su parte, sostiene una narrativa distinta sobre quién definió las opciones operativas y quién comunicó los riesgos. La disputa es importante porque el caso será citado durante años como ejemplo de cómo decisiones de configuración —no fallos del código del protocolo— concentran riesgo sistémico en infraestructura supuestamente descentralizada.

¿Y los exchanges centralizados? El panorama 2026

Una pregunta legítima al cubrir DDoS y cripto en 2026 es si los grandes exchanges centralizados —Binance, Coinbase, Kraken, Bybit— han sufrido caídas significativas atribuidas a denegación de servicio. La respuesta honesta, a partir de la cobertura pública revisada para esta nota, es que no hay reportes públicos relevantes en 2026 de outages prolongados de exchanges centralizados de primer nivel atribuidos directa y exclusivamente a DDoS. Esto no significa que no estén siendo atacados; significa que sus capas de mitigación —Cloudflare, AWS Shield Advanced, redes anti-DDoS dedicadas y arquitecturas multirregión— absorbieron lo que llegó sin que se tradujera en interrupciones reportables.

El caso del exchange Grinex en Kirguistán, del 17 de abril de 2026, fue cubierto por Reuters y BleepingComputer como un robo de aproximadamente 13.7 millones de dólares en USDT, pero la atribución pública apunta a un vector de hackeo, no a DDoS específicamente.

Lo que sí es público, y vale la pena documentar como contraste no-cripto, es la caída de Bluesky durante dos días seguidos a mediados de abril de 2026 por un ataque DDoS coordinado. Es la evidencia de que la herramienta clásica sigue funcionando contra plataformas con menos blindaje que un exchange de primer nivel; no es la evidencia de un cambio en la amenaza específica al sector cripto.

Las cifras del año: lo que mide Gcore Radar y Radware

Los reportes de la industria publicados durante el primer trimestre de 2026 confirman una escalada cuantitativa importante. El Gcore Radar Report registró un aumento de 154% año contra año en ataques DDoS al cierre de 2025 —1.3 millones de ataques en Q4 2025 frente a 512 mil en Q4 2024—, con un pico individual de 12 Tbps, seis veces el máximo del año anterior.

La distribución por sectores reportada por Gcore es reveladora:

  • Tecnología: 34% del volumen
  • Servicios financieros: 20%
  • Gaming: 19%

Las fuentes geográficas concentradas en las Américas —México 31%, Brasil 24% y Estados Unidos 20% en la capa de red— se atribuyen mayoritariamente a la actividad del botnet AISURU. El 82% de los ataques operó en capa de red, y el 75% duró menos de un minuto. Esa duración corta es un dato importante: confirma que el DDoS contemporáneo se diseña con frecuencia como ráfaga quirúrgica, no como bombardeo prolongado, lo que coincide con el uso instrumental que se observó contra el nodo limpio de KelpDAO.

El reporte global de Radware 2026 reporta de forma independiente un aumento de 168.2% año contra año en ataques de capa de red, y NETSCOUT documentó cambios cualitativos en la sofisticación de los vectores durante la segunda mitad de 2025.

La respuesta: Europol y la cadena de DDoS-for-hire

En abril de 2026, una operación coordinada bajo Europol entre 21 países derivó en el desmantelamiento de 53 dominios asociados a servicios de DDoS-for-hire y la identificación de aproximadamente 75,000 usuarios de esas plataformas, según la cobertura de Infosecurity Magazine. La operación es relevante porque ataca el suministro: los DDoS de bajo costo que pueden ser contratados por horas son la herramienta económica detrás de la mayor parte de los ataques oportunistas, incluidos los que apuntan a infraestructura financiera y cripto. Reducir esa oferta no elimina el problema, pero eleva el costo de operación.

Lección: cuando el DDoS deja de ser objetivo y se vuelve herramienta

El caso KelpDAO permite formular una lectura compacta del cambio de paradigma:

  • El DDoS clásico ataca disponibilidad. La métrica del éxito del atacante es el tiempo de inactividad.
  • El DDoS de 2026 contra infraestructura cripto ataca integridad indirectamente. La métrica del éxito es haber forzado una decisión de seguridad —recolección de firmas, consenso de oráculo, validación de mensaje— a operar sobre un subconjunto comprometido.

Para los proyectos DeFi, la implicación práctica es que la robustez de los verificadores no se mide solo por su disponibilidad agregada, sino por la robustez del sistema cuando algunos de ellos dejan de responder. Una configuración 1-of-1 colapsa a la primera ausencia. Una configuración n-of-m con n suficientemente alto soporta ráfagas DDoS sin ceder integridad.

Para los exchanges centralizados, la implicación es que las capas de mitigación tradicionales —proveedores anti-DDoS, scrubbing distribuido, balanceo multirregión— siguen siendo necesarias pero no suficientes. La infraestructura externa de la que dependen —oráculos, proveedores de datos de mercado, gateways de pago, custodios externos— hereda el mismo riesgo: si alguno de esos componentes puede ser silenciado selectivamente, la decisión que el exchange tome sobre datos parcialmente disponibles puede convertirse en el punto débil real.

Para el lector general, el cierre vale la pena retenerse: la próxima vez que alguien describa un DDoS contra una plataforma cripto, conviene preguntar qué dejó de responder mientras estaba el ataque. La respuesta a esa pregunta, no la duración del incidente, suele ser donde está la pérdida.

Fuentes