Kelp DAO, un actor clave en el espacio DeFi, ha anunciado planes para mover su token de repliegue, rsETH, a la plataforma oráculo de Chainlink. Esta decisión sigue a un importante ciberataque en abril, donde los hackers explotaron vulnerabilidades y desviaron $292 millones. Incluso mientras Kelp DAO prepara esta transición, la plataforma continúa atribuyendo la responsabilidad a la infraestructura de LayerZero.
Detalles del Ataque y Debate sobre Infraestructura
El hackeo ocurrió el 18 de abril, cuando atacantes explotaron el puente basado en LayerZero de Kelp DAO y robaron 116,500 ETH repliegados. Los ladrones luego utilizaron los tokens incautados como colateral en Aave v3, retirando Ether envuelto a cambio. El incidente se destaca como una de las mayores brechas de seguridad dentro del ecosistema DeFi hasta ahora este año.
Después de la brecha, LayerZero publicó un informe de evaluación, afirmando que la vulnerabilidad surgió del hecho de que la red de validadores descentralizada (DVN) de Kelp DAO dependía únicamente de un solo validador de LayerZero. LayerZero afirmó que anteriormente había advertido contra diseños que carecen de múltiples controles independientes, lo que podría representar riesgos de seguridad.
En una declaración el martes, Kelp DAO dijo: “Tras el reciente exploit de LayerZero, hemos decidido migrar rsETH a Chainlink CCIP para garantizar plena seguridad.”
Kelp DAO, sin embargo, afirmó que operar con un único validador (configuración 1-1) es la configuración predeterminada de LayerZero y es utilizada en numerosos protocolos. Datos de Dune Analytics muestran que aproximadamente la mitad de los usuarios de LayerZero operan con solo un DVN. El proyecto también afirmó que LayerZero aprobó este enfoque y no advirtió sobre sus posibles riesgos.
Acusaciones Escaladas y Respuesta de la Industria
Kelp DAO enfatizó que ha operado con la infraestructura de LayerZero desde principios de 2024, manteniéndose en estrecha comunicación con su equipo. La configuración de la red de validadores se discutió en múltiples ocasiones, y Kelp DAO mantuvo que el arreglo había sido reiteradamente considerado seguro en ese momento.
En respuesta al incidente, LayerZero ahora dice que ya no validará mensajes entre cadenas de aplicaciones que dependan de un solo validador, y planea transicionar dichos protocolos a configuraciones DVN de múltiples validadores.
El cofundador y CEO de LayerZero, Bryan Pellegrino, publicó en las redes sociales que “muchas de las afirmaciones de Kelp son simplemente falsas”, argumentando que la configuración predeterminada es en realidad multi-DVN o DeadDVN, y que Kelp lo cambió manualmente al modo de un solo validador.
Pellegrino explicó además que la configuración original de LayerZero, establecida con Google, utilizó múltiples validadores; Kelp DAO, según alegó, realizó cambios manuales para adoptar el modelo de mayor riesgo. Agregó que pronto, firmas de seguridad independientes publicarán análisis completos del incidente.
Presuntos Perpetradores e Impacto General
También se ha centrado la atención en la posible participación de grupos de hackers vinculados a Corea del Norte, sospechosos en varios exploits importantes de DeFi este año, incluido el ataque a principios de abril a la bolsa descentralizada Drift, que registró pérdidas de $285 millones.
Estos episodios han reavivado debates sobre la seguridad de los puentes entre cadenas y el diseño de procesos de validación descentralizados dentro de proyectos DeFi.
