KelpDAO y el Exploit de LayerZero
KelpDAO ha responsabilizado a LayerZero por un exploit que resultó en pérdidas de $292 millones y ha anunciado su intención de relanzar con un sistema cruzado rediseñado en Chainlink, según un comunicado del grupo en X el martes.
«A partir del incidente del 18 de abril, está claro que la infraestructura de LayerZero fue explotada, lo que resultó en pérdidas de $300 millones en DeFi», escribió KelpDAO en X.
Informes independientes de SEAL 911, Chainalysis y otros importantes investigadores de seguridad apuntan todos a la misma fuente. En abril, un ataque drenó aproximadamente 116,500 rsETH—un token de staking basado en Ethereum—de un puente cruzado utilizado por Kelp, un protocolo que permite a los usuarios hacer staking de Ethereum y mover tokens entre diferentes blockchains. Este exploit ha sido vinculado al Grupo Lazarus de Corea del Norte.
Detalles del Ataque y Responsabilidad
En una publicación separada en X, Kelp afirmó que el personal de LayerZero aprobó la configuración relacionada con el exploit y no advirtió que representaba un riesgo de seguridad. La configuración, conocida como verificador 1-de-1, depende de una sola entidad para validar transacciones cruzadas. Kelp indicó que el ataque se originó en una violación de la infraestructura de LayerZero, donde los atacantes comprometieron los nodos RPC de la red de verificadores y forzaron al sistema a depender de datos manipulados, lo que permitió que transacciones fraudulentas fueran aprobadas.
«Después del exploit, LayerZero anunció que ya no firmaría ni atestiguaría mensajes para ninguna aplicación que utilizara una configuración de DVN 1-1», escribió Kelp. «Ese cambio de política, realizado después de que cientos de millones de dólares fueron explotados, confirma que esta era una configuración de LayerZero ampliamente utilizada que LayerZero Labs solo modificó después de que falló.»
En una declaración de abril, LayerZero disputó esta versión, afirmando que el exploit estaba aislado a la aplicación rsETH de Kelp y resultó del uso de una configuración de verificador único que iba en contra del modelo recomendado de múltiples verificadores de la compañía. «Esa interpretación no coincide con los hechos», escribió KelpDAO. «Es un asunto de dominio público que esta configuración 1-1 no era exclusiva de Kelp.»
Transición a Chainlink y Futuro de Kelp
Según Kelp, siguió la documentación y las configuraciones predeterminadas de LayerZero. La compañía también señaló que la configuración era ampliamente utilizada en todo el ecosistema, citando datos que muestran que una gran parte de las aplicaciones dependían de configuraciones similares. Kelp anunció que está trasladando su sistema rsETH al protocolo de interoperabilidad cruzada de Chainlink, donde las transacciones deben ser aprobadas por múltiples validadores independientes en lugar de un solo verificador.
«Estamos comprometidos a trabajar con el equipo de KelpDAO para mejorar la seguridad cruzada de rsETH y apoyar su migración a Chainlink CCIP», dijo Johann Eid, Director de Negocios de Chainlink, a Decrypt. «Hemos creído durante mucho tiempo que para que DeFi alcance su máximo potencial y traiga billones a la cadena, el ecosistema necesita estar respaldado por una infraestructura altamente segura.»
Impacto del Exploit y Consecuencias Legales
El impacto del exploit de Kelp se ha extendido más allá de la disputa técnica. Aproximadamente $71 millones en criptomonedas vinculadas al exploit fueron congelados en la red Arbitrum, lo que ha desencadenado una pelea legal en un tribunal federal de Nueva York. «Hay preguntas a las que el ecosistema merece respuestas», escribió KelpDAO. «Y estamos asegurando que rsETH esté protegido por una infraestructura que no deje estas preguntas abiertas.»
LayerZero no respondió de inmediato a una solicitud de comentario de Decrypt.
