En Resumen
- KelpDAO culpó a LayerZero por el exploit del 18 de abril, afirmando que su infraestructura fue comprometida y resultó en $300M en pérdidas DeFi.
- Kelp señaló que LayerZero aprobó la configuración de verificador único vinculada al ataque y solo la modificó después de que fallara.
- El protocolo anunció su migración a Chainlink CCIP, que requiere múltiples validadores independientes para aprobar transacciones cross-chain.
KelpDAO culpa a LayerZero por un exploit de $292 millones y planea relanzarse con un sistema cross-chain rediseñado sobre Chainlink, según anunció el grupo en X el martes.
"Del incidente del 18 de abril, queda claro que la propia infraestructura de LayerZero fue explotada, lo que resultó en $300 millones en pérdidas en todo el DeFi", escribió Kelp DAO en X. "Informes independientes de SEAL 911, Chainalysis y otros importantes investigadores de seguridad apuntan al mismo origen".
En abril, un ataque drenó aproximadamente 116.500 rsETH —un token de staking basado en Ethereum— de un puente cross-chain utilizado por Kelp, un protocolo que permite a los usuarios hacer staking de Ethereum y mover tokens entre blockchains. El exploit ha sido vinculado al Grupo Lazarus de Corea del Norte.
En una publicación separada en X, Kelp señaló que el personal de LayerZero aprobó la configuración vinculada al exploit y no advirtió que representaba un riesgo de seguridad. La configuración, conocida como verificador 1 de 1, depende de una única entidad para validar las transacciones cross-chain.
Kelp afirmó que el ataque se originó en una brecha en la infraestructura de LayerZero, donde los atacantes comprometieron los nodos RPC de la red de verificadores y forzaron al sistema a depender de datos manipulados, permitiendo que se aprobaran transacciones falsas.
"Tras el exploit, LayerZero anunció que dejaría de firmar o certificar mensajes para cualquier aplicación que utilizara una configuración DVN 1-1", escribió Kelp. "Ese cambio de política, adoptado después de que se explotaran cientos de millones de dólares, confirma que esta era una configuración ampliamente utilizada de LayerZero que LayerZero Labs solo modificó después de que fallara".
En un comunicado de abril, LayerZero rechazó esa versión, indicando que el exploit fue aislado a la aplicación rsETH de Kelp y resultó de su uso de una configuración de verificador único, lo que iba en contra del modelo de múltiples verificadores recomendado por la empresa.
"Ese planteamiento no se ajusta a los hechos", escribió Kelp DAO. "Es de dominio público que esta configuración 1-1 no era exclusiva de Kelp".
Según Kelp, la empresa siguió la documentación y las configuraciones predeterminadas de LayerZero, y agregó que dicha configuración era ampliamente utilizada en todo el ecosistema, señalando datos que muestran que una gran proporción de aplicaciones dependía de configuraciones similares.
Kelp afirmó que está migrando su sistema rsETH al protocolo de interoperabilidad cross-chain de Chainlink, donde las transacciones deben ser aprobadas por múltiples validadores independientes en lugar de un único verificador.
"Estamos comprometidos a trabajar con el equipo de KelpDAO para mejorar la seguridad cross-chain de rsETH y apoyar su migración a Chainlink CCIP", dijo Johann Eid, Director de Negocios de Chainlink, a Decrypt. "Siempre hemos creído que para que DeFi alcance su pleno potencial de llevar billones on-chain, el ecosistema necesita estar respaldado por una infraestructura altamente segura".
El impacto del exploit de Kelp se ha extendido más allá de la disputa técnica. Alrededor de $71 millones en cripto vinculados al exploit fueron congelados en la red Arbitrum, lo que desencadenó una batalla legal en un tribunal federal de Nueva York.
"Hay preguntas que el ecosistema merece que se respondan", escribió Kelp DAO. "Y nos estamos asegurando de que rsETH esté respaldado por una infraestructura que no deje estas preguntas abiertas".
LayerZero no respondió de inmediato a una solicitud de comentarios de Decrypt.