Kelp DAO señala con el dedo a LayerZero después de una explotación de puente de 292 millones de dólares y cambia a Chainlink

Una devastadora violación de seguridad afectó a la plataforma DeFi Kelp DAO el 18 de abril, lo que resultó en la pérdida de aproximadamente $292 millones cuando actores maliciosos desviaron 116,500 tokens rsETH a través de su infraestructura puente integrada en LayerZero. Después del reciente exploit LayerZero, estamos tomando medidas para garantizar que rsETH sea completamente seguro, razón por la cual estamos migrando a @chainlink CCIP. Del incidente del 18 de abril, queda claro que la propia infraestructura de LayerZero fue explotada, lo que resultó en pérdidas de 300 millones de dólares en DeFi. Antes de que Kelp pudiera congelar sus contratos inteligentes, los atacantes ejecutaron con éxito dos transacciones fraudulentas adicionales que superaban los 100 millones de dólares en valor combinado. LayerZero atribuyó el ataque al notorio Grupo Lazarus que opera desde Corea del Norte. Según los informes, los actores de amenazas obtuvieron acceso a la lista de nodos RPC utilizada por DVN de LayerZero Labs, se infiltraron con éxito en dos nodos y reemplazaron su software operativo con código malicioso. Posteriormente, los atacantes iniciaron un ataque de denegación de servicio distribuido (DDoS) en los nodos no comprometidos, redirigiendo el tráfico de la red hacia la infraestructura infectada. El DVN secuestrado luego validó transacciones fabricadas que nunca tuvieron lugar legítimamente en la cadena de bloques. Este incidente de seguridad ha provocado un intenso desacuerdo público entre Kelp DAO y LayerZero con respecto a la responsabilidad por la debilidad explotable. En el análisis del incidente de LayerZero del 19 de abril, la compañía declaró que la vulnerabilidad se debía a que el puente de Kelp utilizaba una red de verificación descentralizada (DVN) solitaria en lugar de emplear múltiples fuentes de verificación independientes. LayerZero caracterizó este enfoque como "directamente en contra" de sus recomendaciones de seguridad. Kelp DAO respondió a estas afirmaciones el martes con un memorando detallado. El protocolo afirmó que el personal de LayerZero examinó la configuración de su infraestructura durante dos años y medio a través de ocho consultas de integración separadas, pero nunca identificó que la arquitectura de un solo verificador presentara problemas de seguridad. Kelp proporcionó evidencia de captura de pantalla de las comunicaciones de Telegram que supuestamente muestran a un representante de LayerZero reconociendo la configuración sin plantear objeciones. CoinDesk no pudo autenticar estas capturas de pantalla de forma independiente. Kelp también hizo referencia a la inteligencia de Dune Analytics que indica que el 47% de aproximadamente 2,665 contratos operativos LayerZero emplearon una configuración DVN 1 de 1 idéntica durante un período de 90 días que concluyó alrededor del 22 de abril. Estos contratos en conjunto representaron más de $4,5 mil millones en capitalización de mercado agregada. El analista de seguridad Sujith Somraaj, que anteriormente realizó auditorías para LayerZero, reveló que había presentado una solicitud de recompensa por errores que detallaba la misma metodología de ataque antes del incidente. Dijo que LayerZero desestimó sus hallazgos. El director ejecutivo de LayerZero, Bryan Pellegrino, respondió a través de X, calificando numerosas afirmaciones de Kelp como "completamente falsas". Pellegrino sostuvo que Kelp inicialmente implementó la configuración predeterminada multi-DVN recomendada, pero posteriormente la modificó manualmente para establecer una configuración 1 de 1. Prometió que se publicaría de forma inminente un análisis exhaustivo de incidentes realizado por organizaciones de seguridad independientes. Un representante de LayerZero declaró en un comunicado oficial que los protocolos predeterminados en casi todas las vías de integración implementan una arquitectura multi-DVN. El representante explicó que los casos en los que aparecen configuraciones 1 de 1 en el código de plantilla hacen referencia a una función "DeadDVN" diseñada para bloquear mensajes y obligar a los desarrolladores a establecer configuraciones adecuadas antes de la implementación. LayerZero declaró además que dejaría de firmar mensajes para cualquier aplicación que funcionara con una configuración 1 de 1, una política implementada inmediatamente después de la infracción. Kelp sostiene que su equipo de seguridad interna descubrió e informó la vulnerabilidad a LayerZero, contradiciendo las sugerencias de que LayerZero identificó el problema primero. Actualmente, Kelp está haciendo la transición de rsETH del estándar OFT de LayerZero al estándar Cross-Chain Token de Chainlink utilizando su Protocolo de interoperabilidad entre cadenas. La documentación indica que en un mínimo de dos redes blockchain integradas (Dinari y Skale), el DVN de LayerZero Labs continúa sirviendo como el único certificador designado.