Responsabilidad del Ataque a Kelp DAO
LayerZero ha señalado que el Grupo Lazarus de Corea del Norte es el probable responsable del exploit de Kelp DAO, que resultó en el drenaje de 116,500 rsETH, equivalentes a aproximadamente $292 millones. La compañía indicó que los primeros indicios apuntan a un «actor estatal altamente sofisticado» y mencionó específicamente al «Grupo Lazarus de la DPRK, más concretamente a TraderTraitor» en su última declaración.
Detalles del Ataque
El ataque ocurrió el 18 de abril y rápidamente se convirtió en el mayor exploit de DeFi reportado en lo que va del año. LayerZero explicó que el atacante dirigió su ataque al sistema utilizado para verificar mensajes entre cadenas, lo que permitió que un mensaje falso fuera aceptado y desbloqueara tokens en el puente.
Según la compañía, el atacante tuvo acceso a la lista de nodos RPC utilizados por la red verificada descentralizada de LayerZero Labs (DVN). Posteriormente, el atacante envenenó dos de esos nodos para que entregaran un mensaje falso entre cadenas a la red de verificación. Al mismo tiempo, lanzó un ataque DDoS contra nodos limpios, lo que obligó a la DVN a depender de los nodos envenenados. Esta combinación permitió que el mensaje forjado se moviera a través del sistema y activara el desbloqueo de tokens, lo que resultó en la pérdida.
Configuración de Kelp DAO y Consecuencias
Además, LayerZero destacó que el daño fue posible porque Kelp DAO utilizó una configuración única de 1 de 1 DVN sin un verificador de respaldo. Esto creó un único punto de falla, dejando sin verificación independiente la posibilidad de rechazar el mensaje falso antes de que el puente liberara los fondos. En su declaración, LayerZero afirmó que
«operar con una configuración de punto único de falla significaba que no había un verificador independiente para atrapar y rechazar un mensaje forjado»
. También mencionó que
«LayerZero y otras partes externas habían comunicado previamente las mejores prácticas sobre la diversificación de DVN a Kelp DAO»
. La compañía añadió que ya no firmará mensajes para aplicaciones que utilicen una configuración de 1/1 DVN.
Impacto en el Ecosistema DeFi
El exploit generó un gran estrés en DeFi, ya que el atacante movió el rsETH robado a Aave V3 y lo utilizó como colateral para solicitar grandes cantidades de WETH. Esto generó preocupación sobre posibles deudas incobrables en Aave y llevó al protocolo a congelar los mercados de rsETH tanto en V3 como en V4. El fundador de Aave, Stani Kulechov, declaró que
«rsETH ha sido congelado en Aave V3 y V4»
y agregó que el activo ya no tiene poder de préstamo debido al exploit del puente de Kelp DAO. Datos históricos de Aavescan mostraron que más de $10 mil millones salieron de Aave tras el ataque, con los fondos totales suministrados cayendo a $35.7 mil millones desde $45.8 mil millones.
Repercusiones Adicionales
Las repercusiones del ataque se extendieron más allá de Aave. Varios protocolos DeFi, incluidos Ethena, ether.fi, Tron DAO y Curve Finance, decidieron pausar los puentes OFT de LayerZero como medida de precaución. Los datos de DefiLlama mostraron que el valor total bloqueado en DeFi cayó un 7% en 24 horas, alcanzando aproximadamente $86.3 mil millones, desde $99.5 mil millones el 18 de abril. LayerZero aseguró que hay «cero contagio» para otros activos o aplicaciones que utilizan configuraciones multi-DVN, mientras continúan los esfuerzos de las fuerzas del orden para rastrear los fondos.
