LayerZero asume su error tras el hackeo de Kelp DAO por 292 millones de dólares

LayerZero reconoció a última hora del viernes (hora de EE. UU.) que cometió "un error" al permitir que su propia infraestructura de validación protegiera criptoactivos de alto valor con una configuración vulnerable, según CoinDesk. El cambio de tono llega después de semanas de cruces públicos de reproches con Kelp DAO, que sufrió pérdidas por 292 millones de dólares en un incidente vinculado a atacantes norcoreanos. En un comunicado en su blog publicado el viernes, LayerZero abrió con una "disculpa tardía". Hasta ahora, la firma había apuntado a una supuesta mala configuración en la capa de aplicación de Kelp, al señalar que el protocolo habría optado por un esquema "1 a 1": un modelo en el que basta con que una única red descentralizada de verificación (DVN, por sus siglas en inglés) apruebe transferencias entre cadenas, dejando un único punto de fallo. Las DVN forman parte de la infraestructura que valida la legitimidad de las transacciones que mueven activos entre blockchains. LayerZero afirmó: "Nos equivocamos al permitir que nuestra DVN se utilizara como DVN uno a uno para transacciones de alto valor. No regulamos el contenido protegido por la DVN, lo que generó riesgos que no supimos anticipar. Asumimos toda la responsabilidad". Para mitigar la situación, LayerZero Labs indicó que su DVN dejará de dar soporte a la configuración 1/1. También adelantó que "las configuraciones por defecto en todas las rutas se migrarán a 5/5 siempre que sea posible" y que, en cadenas donde solo haya disponibles tres DVN, "se migrará como mínimo a 3/3". Los puentes cross-chain actúan como "vías" que conectan redes blockchain originalmente separadas y llevan años siendo uno de los puntos más frágiles de la infraestructura cripto. LayerZero insistió en que su protocolo subyacente no se vio comprometido y reiteró que, en última instancia, la responsabilidad de definir los supuestos de seguridad recae en los desarrolladores que configuran las integraciones. La compañía atribuyó el ataque a una intrusión contra la infraestructura interna de RPC utilizada por la DVN de LayerZero Labs, mientras que proveedores externos de RPC también sufrieron ataques de denegación de servicio distribuida (DDoS). LayerZero añadió que, hace tres años y medio, uno de los firmantes de su cuenta multifirma inició una transacción personal usando la wallet hardware de la multifirma, con la intención de transferir fondos a su propia wallet hardware. La empresa calificó la conducta de "claramente inaceptable": el firmante fue retirado, la wallet se rotó y desde entonces se reforzó la seguridad de cada dispositivo con software local de detección de anomalías, además de crear una multifirma personalizada denominada OneSig. El episodio está siendo aprovechado por competidores como Chainlink para captar clientes entre protocolos que revisan sus proveedores de seguridad. Kelp DAO ha trasladado su puente rsETH a un protocolo de interoperabilidad cross-chain competidor de Chainlink. Solv Protocol, por su parte, señaló esta semana que, tras su última auditoría de seguridad, está migrando más de 700 millones de dólares en infraestructura de bitcoin tokenizado fuera de LayerZero.