El sector de finanzas descentralizadas (DeFi) fue sacudido este fin de semana por un ciberataque masivo. Kelp DAO, un protocolo de puentes entre cadenas, sufrió el robo de 116,500 rsETH, lo que resultó en una pérdida total de $292 millones. Este incidente se presenta como la mayor violación de DeFi del año hasta el momento. Kelp DAO juega un papel clave en facilitar las transferencias de activos entre diferentes blockchains, especialmente para proyectos basados en Ethereum, y está construido sobre la prominente infraestructura LayerZero.
Cómo se desarrolló el ataque
La violación supuestamente ocurrió el 18 de abril. Según una explicación técnica de LayerZero, los atacantes obtuvieron el control de la lista de nodos RPC utilizados dentro de la red de verificación descentralizada (DVN) de LayerZero Labs. Al corromper dos de estos nodos, lanzaron un ataque de denegación de servicio y lograron enviar un mensaje fraudulento entre cadenas que el sistema reconoció erróneamente como legítimo. Como resultado, la red aprobó una transacción no autorizada, causando la pérdida de 116,500 tokens rsETH. Esta vulnerabilidad estaba directamente vinculada al uso de una estructura de verificación única en el DVN por parte de Kelp DAO, en lugar de un sistema de múltiples verificadores.
“LayerZero y otras partes externas proporcionaron anteriormente guías de mejores prácticas sobre la diversificación de DVN al equipo de Kelp DAO. A pesar de todas estas advertencias, Kelp DAO continuó operando con una configuración de DVN 1/1.”
Debate sobre una configuración crítica
En su informe, LayerZero enfatizó que la dependencia de Kelp DAO en una configuración de un solo verificador DVN creó una vulnerabilidad significativa en el sistema. Este método, que evitaba la supervisión independiente, dejaba un único punto de fallo abierto a la explotación. En respuesta, Kelp DAO declaró que la configuración estaba listada como una opción por defecto en la documentación de LayerZero y fue aprobada a través de comunicación directa con el equipo del protocolo.
Kelp DAO también señaló que ha estado operando en la infraestructura de LayerZero desde enero, manteniendo una comunicación continua entre los equipos. En una declaración oficial, la compañía aclaró que iniciaron una revisión exhaustiva, incluyeron en lista negra las carteras de los atacantes y suspendieron los contratos inteligentes relevantes. Esta rápida intervención fue crucial para contener la situación. El equipo dijo que todos los pasos para reanudar el protocolo serían cuidadosamente evaluados.
Los riesgos se extienden al protocolo Aave
Las repercusiones de la violación de Kelp DAO se han propagado por todo el ecosistema cripto. El atacante depositó una parte significativa del rsETH robado en el protocolo Aave V3 como colateral y tomó prestados 82,650 WETH y 821 wstETH contra él. Esto aumenta el riesgo de acumular una deuda incobrable dentro de Aave.
Un informe reciente de Aave muestra que el atacante utilizó 89,567 rsETH (con un valor de alrededor de $221 millones) como colateral en préstamos de alto volumen. Debido a la falta de orientación clara de Kelp DAO sobre cómo se compartirán las pérdidas entre los usuarios o cómo ocurriría la restitución, la gobernanza de Aave delineó dos posibles escenarios.
En el primer escenario, si la pérdida se distribuye proporcionalmente en todas las redes, el suministro de rsETH podría perder un 15.12% de su valor, resultando en aproximadamente $123.7 millones en deuda incobrable en Aave. La red principal de Ethereum vería el mayor impacto con $91.8 millones, aunque las reservas más profundas allí limitan la pérdida proporcional. En plataformas con reservas más bajas como Mantle, la pérdida proporcional podría subir al 9.54%.
En el segundo escenario, si solo se afecta al rsETH de la red L2 y los activos de la red principal de Ethereum permanecen completamente colateralizados, los activos de L2 estarían sujetos a un recorte del 73.54%—una situación que crearía $230.1 millones en deuda incobrable. Aquí, el fondo de seguro “WETH Umbrella” de Aave de $54 millones solo podría desplegarse en el primer escenario.
El resultado depende en gran medida de los procesos contables de Kelp DAO y las actualizaciones del ratio LRTOracle, según la gestión de Aave. Aave también señaló que posee $181 millones en activos y ha asegurado compromisos de apoyo adicional por parte de su comunidad para abordar cualquier eventual déficit.
