Kelp DAO migra a Chainlink CCIP después de acusar a LayerZero de falla de seguridad
Kelp DAO ha anunciado planes para migrar su infraestructura entre cadenas al CCIP de Chainlink, al tiempo que cuestiona las afirmaciones de que su propia configuración causó el exploit de 300 millones de dólares vinculado a LayerZero.
En una publicación detallada publicada el 5 de mayo, Kelp dijo que el ataque del 18 de abril se originó a partir de vulnerabilidades dentro de la infraestructura de LayerZero, no de una mala configuración a nivel de protocolo como se sugirió anteriormente.
Kelp rechaza la narrativa de "mala configuración"
El protocolo rechazó las afirmaciones de que el uso de una configuración DVN [Red de verificación descentralizada] 1 de 1 era la causa de la vulnerabilidad.
Kelp afirmó que la configuración era:
ampliamente utilizado en todo el ecosistema LayerZero
incluido en la documentación predeterminada
aprobado explícitamente en comunicaciones anteriores
Citó datos públicos que sugieren que casi la mitad de las aplicaciones integradas en LayerZero operaban bajo configuraciones similares, y la mayoría de las transacciones dependían del propio DVN de LayerZero.
El ataque se remonta a un compromiso a nivel de infraestructura
Según Kelp, el exploit implicó una violación de la infraestructura fuera de la cadena de LayerZero, lo que permitió a los atacantes manipular nodos RPC y generar certificaciones de transacciones falsificadas.
Según se informa, los atacantes desencadenaron la acuñación de rsETH sin respaldo y extrajeron fondos a través de protocolos DeFi.
Kelp añadió que detuvo los contratos una hora después de detectar el ataque y afirma haber evitado pérdidas adicionales que superan los 100 millones de dólares.
La respuesta de LayerZero plantea más preguntas
Kelp también cuestionó las inconsistencias en la autopsia de LayerZero, particularmente su caracterización del incidente como un problema de configuración aislado.
El protocolo señaló que LayerZero luego restringió las configuraciones DVN 1 de 1 después del exploit, una medida que, según dice, contradice la orientación anterior de que tales configuraciones eran aceptables.
Además planteó preocupaciones sobre:
dependencias de infraestructura compartida
falta de alertas de seguimiento
exposición de puntos finales RPC
Kelp argumentó que estos factores apuntan a riesgos sistémicos dentro del modelo de confianza de LayerZero.
El cambio a Chainlink indica un impacto más amplio
Como parte de su respuesta, Kelp confirmó que hará la transición al Protocolo de interoperabilidad entre cadenas [CCIP] de Chainlink, citando su historial y modelo de seguridad.
La medida refleja un cambio más amplio hacia una infraestructura entre cadenas más sólida después del exploit.
Kelp dijo que su prioridad sigue siendo asegurar los fondos de los usuarios y reconstruir la confianza, y se espera un informe forense completo en una fecha posterior.
Resumen final
Kelp DAO ha anunciado una migración a Chainlink CCIP después de acusar a LayerZero de fallas de infraestructura en el exploit de 300 millones de dólares.
La disputa pone de relieve las crecientes preocupaciones sobre la seguridad entre cadenas y los riesgos sistémicos que plantean las configuraciones predeterminadas ampliamente adoptadas.