El mundo de las criptomonedas se tambalea mientras una violación masiva de seguridad desata un efecto dominó, generando temores de una inestabilidad financiera generalizada.
El exploit de 292 millones de dólares de Kelp DAO ha desencadenado una ola de reacciones en toda la industria de la criptografía, y los desarrolladores y comerciantes advirtieron que el incidente expuso fallas más profundas en la forma en que se construyen las finanzas descentralizadas (DeFi).
Los datos compartidos por los participantes del mercado muestran que las consecuencias inmediatas se extendieron mucho más allá del protocolo pirateado.
"El hack de rsETH está provocando retiros en todos los protocolos de préstamos, incluso en solana y protocolos no afectados", dijo 0xngmi en una publicación el domingo, señalando fuertes salidas que incluyen "Aave: -6.200 millones (-23%) de entradas netas" y caídas más pequeñas pero notables en Morpho, Sky y JupLend. rsETH es el protocolo de recuperación de líquidos Kelp DAO y es un token de recuperación de líquidos (LRT) que permite a los usuarios ganar apuestas de éter y recompensas de recuperación mientras mantienen sus activos líquidos, incluso cuando están bloqueados en apuestas.
Esa presión rápidamente se convirtió en algo más severo. Una publicación de Josu San Martín que circuló ampliamente describió el estrés de liquidez en cascada dentro de los mercados crediticios: "Los depositantes de $ETH no pueden retirar $ETH, por lo que están pidiendo prestado establos para 'retirar' fondos... Esta es una corrida total de $AAVE".
Si bien Stani Kulechov, fundador de Aave, dijo que el exploit era externo y que los contratos del protocolo no estaban comprometidos, los depositantes entraron en pánico. El valor total bloqueado (o depósitos) cayó de 26.400 millones de dólares el 18 de abril a casi 20.000 millones de dólares en las horas de la mañana de Estados Unidos el domingo, según DefiLlama. El token $AAVE también cayó más del 18% mientras los depositantes se apresuraban a retirar su dinero durante el fin de semana.
Un 'estudio de caso'
El exploit en sí se ha convertido en un punto focal para ingenieros y desarrolladores.
Varios desarrolladores rechazaron las suposiciones iniciales de que el problema surgía de la infraestructura central. "El exploit KelpDAO (~$290 millones, NO es un error del protocolo LayerZero. Es un problema de configuración y un estudio de caso que todo proyecto con un token de cadena cruzada debe considerar hoy", decía un desglose técnico de cryptogoblin.
El hilo detalla cómo un único punto de verificación permitió el ataque. "Una firma y 116.500 rsETH se materializaron de la nada en Ethereum", decía la publicación, describiendo un sistema donde "los contratos [inteligentes] no se rompieron. La capa de verificación sí", afirmó la publicación.
Otros argumentaron que el problema va más allá de una única opción de configuración.
Un crítico, que se hace llamar Fishy Catfish en X, lo enmarcó como un defecto de diseño, alegando que: "no hay un nivel mínimo de seguridad... Una configuración puede ser un DVN 1/1 y el DVN que usted elija puede ser un nodo único ejecutado por una sola entidad". Una DVN (Red Verificadora Descentralizada) en DeFi, específicamente dentro de LayerZero V2, es una entidad independiente responsable de validar y dar fe de la autenticidad de los mensajes enviados a través de diferentes redes blockchain. Básicamente, los DVN verifican los hash de los mensajes entre una cadena de origen y una cadena de destino.
Para aclarar el punto, el autor hizo una comparación con el mundo real: "Imagínense si un fabricante de montañas rusas permitiera a los parques de diversiones decidir individualmente cuáles eran las especificaciones mínimas de seguridad". Básicamente, el autor simplemente dice que la flexibilidad sin barreras de seguridad puede crear riesgos ocultos.
La publicación llegó incluso a afirmar que la configuración era el problema dentro del diseño. "Personalmente creo que este es un diseño defectuoso. La seguridad modular es un espacio de diseño que vale la pena, sin embargo, el rango de seguridad debe tener un piso de seguridad nativo que sea bastante fuerte, y luego permitir capas *adicionales* de seguridad además de eso para casos de uso de mayor valor".
'DeFi está muerto'
No es sólo la cantidad y complejidad del exploit lo que provocó duras y aterrorizadas críticas. La escala del exploit ha aumentado las preocupaciones.
Aproximadamente 116.500 rsETH, aproximadamente el 18% del suministro, se vieron afectados. El atacante engañó a la capa de mensajería entre cadenas de LayerZero haciéndole creer que había llegado una instrucción válida de otra red, lo que provocó que el puente de Kelp liberara 116,500 rsETH a una dirección controlada por el atacante.
Los protocolos respondieron congelando los mercados y pausando funciones. Aave detuvo la actividad de rsETH. Lido detuvo los depósitos vinculados al activo. Otros proyectos tomaron medidas similares para limitar la exposición a medida que se desarrollaba la situación.
Más allá del debate técnico, el sentimiento en torno a las criptomonedas se volvió marcadamente negativo. Una publicación quizás capturó el cambio de humor en términos contundentes: "DeFi está muerto... 'simplemente usa aave' está muerto", mientras agregaba que "La era de las criptomonedas ha terminado" y preguntaba: "Si estás leyendo esto, ¿por qué sigues en las criptomonedas?".
Si bien la respuesta puede parecer una reacción exagerada, ese tipo de reacción "instintiva" no es inusual después de grandes hazañas, pero la amplitud de este evento destaca.
El ataque afectó la infraestructura entre cadenas, retomando modelos y mercados de préstamos simultáneamente. También sigue a una serie de incidentes recientes. El hack aterriza en una racha inusualmente hostil para DeFi, particularmente este mes. El protocolo de perpetuas con sede en Solana, Drift, perdió alrededor de 285 millones de dólares el 1 de abril en un ataque posteriormente vinculado a actores afiliados a Corea del Norte, y al menos una docena de protocolos más pequeños han sido descubiertos.