Kelp DAO señala con el dedo a LayerZero después de una explotación de puente de 292 millones de dólares y cambia a Chainlink

Un importante incidente de seguridad afectó a Kelp DAO el 18 de abril, lo que resultó en la pérdida de aproximadamente $292 millones cuando actores maliciosos desviaron con éxito 116,500 tokens rsETH a través de la infraestructura puente integrada LayerZero del protocolo. Después del reciente exploit LayerZero, estamos tomando medidas para garantizar que rsETH sea completamente seguro, razón por la cual estamos migrando a @chainlink CCIP. Del incidente del 18 de abril, queda claro que la propia infraestructura de LayerZero fue explotada, lo que resultó en pérdidas de 300 millones de dólares en DeFi. Antes de que Kelp pudiera congelar sus contratos inteligentes, se ejecutaron con éxito dos transacciones fraudulentas que superaban los 100 millones de dólares en valor combinado. LayerZero atribuyó el ataque al notorio Grupo Lazarus de Corea del Norte. Según los informes, los actores de amenazas obtuvieron el registro de nodos RPC operados por LayerZero Labs DVN, se infiltraron con éxito en dos servidores y reemplazaron su software operativo. Posteriormente, orquestaron un ataque de denegación de servicio distribuido (DDoS) contra los nodos no comprometidos, redirigiendo el tráfico de la red a la infraestructura corrupta. El DVN manipulado luego validó transacciones fraudulentas que nunca tuvieron lugar legítimamente en la cadena de bloques. El incidente de seguridad ha provocado una polémica confrontación pública entre Kelp DAO y LayerZero con respecto a la responsabilidad por la vulnerabilidad explotada. En el análisis del incidente de LayerZero del 19 de abril, la plataforma declaró que la infracción se produjo debido a que el puente de Kelp operaba con una solitaria red de verificación descentralizada (DVN) en lugar de implementar múltiples capas de verificación independientes. LayerZero caracterizó esto como una configuración que "contradice directamente" sus recomendaciones de seguridad. Kelp DAO emitió una refutación el martes, publicando documentación que afirma que el personal de LayerZero evaluó su configuración técnica a lo largo de dos años y medio que abarcaron ocho consultas de integración separadas, sin plantear nunca preocupaciones sobre la arquitectura de verificador único. Kelp proporcionó capturas de pantalla de las comunicaciones de Telegram que supuestamente muestran a un representante de LayerZero aceptando la configuración sin plantear objeciones. CoinDesk no pudo autenticar estas capturas de pantalla de forma independiente. Kelp hizo además referencia a la inteligencia de Dune Analytics, que indica que el 47 % de aproximadamente 2665 contratos operativos de LayerZero emplearon una arquitectura DVN 1 de 1 idéntica durante un período de 90 días que concluyó alrededor del 22 de abril. Estos contratos en conjunto representaron más de $ 4,5 mil millones en capitalización de mercado asociada. Sujith Somraaj, analista de seguridad y exauditor de LayerZero, reveló que previamente había presentado un informe de vulnerabilidad que detallaba la misma metodología de ataque antes del exploit. Según Somraaj, LayerZero desestimó su presentación. El director ejecutivo de LayerZero, Bryan Pellegrino, respondió a X, caracterizando numerosas afirmaciones de Kelp como "completamente falsas". Pellegrino afirmó que Kelp inicialmente implementó la configuración predeterminada multi-DVN recomendada y posteriormente la reconfiguraba manualmente a la configuración 1 de 1. Indicó que de manera inminente se publicaría documentación post mortem completa de organizaciones de seguridad independientes. En una declaración oficial, un representante de LayerZero confirmó que los protocolos predeterminados en casi todas las rutas operativas utilizan una arquitectura multi-DVN. El representante explicó que cuando aparecen configuraciones 1 de 1 en las plantillas de desarrollo, hacen referencia a un "DeadDVN" que bloquea los mensajes y requiere que los desarrolladores implementen la configuración adecuada antes de la implementación en producción. LayerZero declaró además que dejaría de firmar mensajes para cualquier aplicación que funcionara con una configuración 1 de 1, una política implementada inmediatamente después de la violación de seguridad. Kelp afirma que su equipo interno identificó e informó de forma independiente la vulnerabilidad a LayerZero, contrariamente a la versión de los hechos de LayerZero. Actualmente, Kelp está haciendo la transición de rsETH del estándar OFT de LayerZero al estándar Cross-Chain Token de Chainlink a través de su Protocolo de interoperabilidad entre cadenas. Según la documentación técnica actual, en al menos dos redes blockchain integradas (Dinari y Skale), el DVN de LayerZero Labs continúa funcionando como el único certificador designado.