Introducción
Hace casi tres semanas, la explotación del puente de KelpDAO comenzó como un fallo técnico y rápidamente se convirtió en una prueba más amplia de la seguridad entre cadenas, los fallos de protocolo y la responsabilidad en las finanzas descentralizadas.
El Ataque
El 18 de abril, atacantes sospechosos de tener vínculos con el Grupo Lazarus de Corea del Norte explotaron un puente de Token Fungible Omnichain impulsado por LayerZero, conectado al rsETH de KelpDAO. El ataque drenó aproximadamente 116,500 rsETH, con pérdidas reportadas cercanas a los 292 millones de dólares.
El problema central se centró en una configuración de verificador único. El puente de KelpDAO utilizó una configuración de Red de Verificadores Descentralizados de 1-de-1, lo que significa que un verificador podía validar actividades de alto valor entre cadenas. Los críticos señalaron que esta estructura creó un único punto de fallo.
Respuesta de LayerZero
LayerZero, por su parte, afirmó que su protocolo en sí no fue comprometido. En una actualización pública, el equipo explicó que los RPC internos utilizados por el DVN de LayerZero Labs fueron atacados por el Grupo Lazarus, lo que resultó en la «contaminación» de su «fuente de verdad«, mientras que los proveedores de RPC externos sufrieron ataques DDoS simultáneamente.
LayerZero comenzó su actualización con una disculpa, reconociendo que había hecho un mal trabajo comunicándose durante las tres semanas posteriores a la explotación. El equipo admitió que había esperado un análisis post-mortem completo, pero debió haber comunicado de manera más directa antes.
Impacto y Cambios
La compañía indicó que el incidente afectó a una aplicación, equivalente al 0.14% de las aplicaciones totales, y aproximadamente al 0.36% del valor de los activos en LayerZero. También mencionó que más de 9 mil millones de dólares se habían movido a través de LayerZero después del 19 de abril, sin que otras aplicaciones se vieran afectadas.
A pesar de esto, LayerZero reconoció un error clave: permitir que su DVN operara como un verificador de 1-de-1 para transacciones de alto valor. El equipo afirmó que los desarrolladores deberían elegir sus propias configuraciones de seguridad, pero admitió que LayerZero Labs no logró monitorear adecuadamente lo que su DVN estaba asegurando.
Como resultado, LayerZero anunció que ya no ofrecerá configuraciones de DVN de 1-de-1 y está moviendo los valores predeterminados hacia la verificación de 5-de-5 donde sea posible, y no menos de 3-de-3 en cadenas donde solo hay tres DVNs disponibles.
Transición a Chainlink
KelpDAO ahora se ha alejado de LayerZero y ha seleccionado el Protocolo de Interoperabilidad entre Cadenas de Chainlink. Este cambio convierte a KelpDAO en uno de los primeros protocolos importantes en dejar LayerZero tras la explotación. Posteriormente, la migración se ha expandido más allá de KelpDAO.
El analista Tom Wan señaló que los protocolos con aproximadamente 2 mil millones de dólares en TVL combinado se están moviendo de LayerZero a Chainlink CCIP. Esto incluye a KelpDAO con aproximadamente 1.5 mil millones, SolvProtocol con alrededor de 600 millones, y re con aproximadamente 200 millones.
Chainlink CCIP utiliza redes de oráculos descentralizados que requieren al menos 16 operadores de nodos independientes para validar transacciones entre cadenas. KelpDAO afirmó que este movimiento aborda directamente la debilidad arquitectónica involucrada en el ataque.
Esfuerzos de Recuperación
Después de la explotación, Aave, KelpDAO, LayerZero y otros participantes formaron DeFi United para ayudar a restaurar el respaldo de rsETH. LayerZero contribuyó con aproximadamente 10,000 ETH, incluyendo una donación de 5,000 ETH y un préstamo de 5,000 ETH a Aave. El esfuerzo de recuperación ha recaudado más de 300 millones de dólares en criptomonedas.
La recuperación se volvió más complicada después de que el Consejo de Seguridad de Arbitrum congelara 30,766 ETH vinculados a la explotación. Los demandantes con reclamaciones relacionadas con el terrorismo contra Corea del Norte luego se movieron para incautar esos fondos, argumentando que podrían estar vinculados al Grupo Lazarus. Aave ha presentado una moción de emergencia buscando liberar los fondos para los usuarios afectados.
Problemas Internos y Nuevas Iniciativas
LayerZero también abordó un problema interno separado que involucraba a un firmante multisig. La compañía explicó que hace tres años y medio, un firmante utilizó por error una billetera hardware multisig para un comercio personal. LayerZero indicó que el firmante fue removido, las billeteras fueron rotadas y las prácticas de firma fueron cambiadas.
La compañía también anunció que ha construido OneSig, un sistema multisig personalizado diseñado para mejorar la seguridad de la firma a través de las cadenas soportadas. Se espera que Console, una plataforma para que los emisores configuren, implementen y gestionen la emisión y seguridad de activos, incluya alertas para DVNs desconocidos, configuraciones inseguras, cambios de propiedad, cambios de confirmación de bloques y uso de valores predeterminados.
Conclusión
La explotación ha trascendido un simple fallo de puente; se ha convertido en una historia sobre los valores predeterminados de los desarrolladores, el diseño de verificadores, la seguridad de RPC, los esfuerzos de recuperación de DAO y si los sistemas entre cadenas pueden proteger activos de alto valor sin depender de suposiciones ocultas o débiles.
