En un incidente relacionado con el puente rsETH de Kelp DAO, se retiraron criptomonedas valoradas en $292 millones debido a una brecha de seguridad. Este evento ha provocado una ola de acusaciones mutuas entre Kelp DAO y LayerZero sobre quién fue el responsable de la vulnerabilidad. Mientras LayerZero argumentó que el uso de un único validador por parte de Kelp DAO creó el riesgo, Kelp DAO replicó afirmando que el equipo de LayerZero había aprobado esta configuración, desatando un acalorado debate en la comunidad cripto.
Disputa de aprobación y comunicaciones internas
LayerZero es reconocida en el ecosistema cripto como una plataforma que desarrolla infraestructura para permitir la comunicación entre cadenas para aplicaciones descentralizadas. Por otro lado, Kelp DAO opera como una organización autónoma descentralizada que gestiona un puente rsETH basado en Ethereum. Según nueva documentación publicada por Kelp DAO, el equipo de LayerZero revisó la configuración de validador uno a uno de Kelp durante dos años y medio en ocho reuniones de integración distintas, sin haber planteado preocupaciones de seguridad. Capturas de pantalla compartidas sugieren que el equipo de LayerZero dejó la decisión sobre la configuración del validador a Kelp e implícitamente que cambiar a un validador privado no era obligatorio. Sin embargo, no está claro si estos mensajes han sido verificados de manera independiente.
Kelp DAO destacó además que la documentación oficial del programa de recompensas por errores de LayerZero excluye expresamente las configuraciones erróneas del lado de la aplicación de la elegibilidad y señaló que la mayoría de los ejemplos oficiales demuestran el modelo de validador único (DVN).
Cómo se desarrolló el hackeo
El 16 de abril, piratas informáticos que se cree están vinculados al Grupo Lazarus, con base en Corea del Norte, explotaron una vulnerabilidad en el ecosistema de LayerZero y retiraron 116,500 rsETH. Los atacantes comprometieron dos servidores RPC en la red de validadores de LayerZero Labs, instalaron software malicioso y luego lanzaron un ataque DDoS contra los nodos restantes, redirigiendo las operaciones del protocolo a nodos falsos. Según LayerZero, esto resultó en aprobaciones para transacciones que nunca ocurrieron realmente. La brecha condujo a la retirada de un total de $292 millones de Kelp DAO, con dos transacciones fraudulentas adicionales que superaron los $100 millones cada una.
Tras el ataque, el equipo de LayerZero declaró: “El protocolo funcionó exactamente como fue diseñado, y las aplicaciones que usan el modelo de validador uno a uno ya no serán elegibles para firmar.”
Datos de Dune Analytics muestran que, hasta ahora, casi el 47% de aproximadamente 2,665 contratos OApp de LayerZero fueron configurados con validadores uno a uno en los últimos 90 días, poniendo un total de $4.5 mil millones en activos en riesgo similar.
Reacciones y desarrollos recientes
En una declaración preparada por Kelp DAO, se enfatizó que la brecha de seguridad no fue detectada por LayerZero y fue descubierta por Kelp DAO, lo que plantea preguntas sobre la integridad de los sistemas de monitoreo de LayerZero. La declaración también alegó una superposición significativa a nivel administrativo entre dos redes de validadores diferentes. En varias blockchains, la red de validadores de LayerZero Labs aún opera como la única autoridad.
Tras el incidente, Kelp DAO anunció planes para migrar su puente rsETH de la infraestructura de LayerZero al protocolo de cadena cruzada de Chainlink. Con esta transición, rsETH adoptará completamente la arquitectura de Chainlink y eliminará gradualmente los estándares de LayerZero.
La escala del ataque y la disputa subsiguiente sobre la responsabilidad han resonado en el sector cripto. Mientras ambas partes siguen acusándose mutuamente, los funcionarios de LayerZero se han abstenido de hacer declaraciones públicas sobre el asunto.
