LayerZero admite un error en la configuración de 1/1 DVN vinculado a un hack de Kelp de 292 millones de dólares

LayerZero emitió el jueves una disculpa pública por su manejo del exploit del 18 de abril que drenó aproximadamente $292 millones del puente rsETH de Kelp DAO, admitiendo que no debería haber permitido que su propio validador operara como el único verificador que asegura transacciones de alto valor.

En una publicación de blog que comienza diciendo "lo primero es lo primero: una disculpa tardía", el protocolo de interoperabilidad dijo que sus nodos RPC internos, utilizados por la Red de Verificadores Descentralizados (DVN) de LayerZero Labs, fueron comprometidos por el Grupo Lazarus de Corea del Norte, que "envenenó" su fuente de verdad, mientras que su proveedor externo de RPC fue atacado simultáneamente por un ataque DDoS. LayerZero dijo que el protocolo subyacente en sí no se vio afectado.

"Creemos que los desarrolladores deberían elegir sus propias configuraciones de seguridad, pero cometimos un error al permitir que nuestro DVN actúe como un DVN 1/1 para transacciones de alto valor", escribió la compañía. "No controlamos lo que nuestro DVN estaba asegurando, lo que creó un riesgo que simplemente no vimos. Somos dueños de eso".

El incidente afectó a una sola aplicación (alrededor del 0,14 % de las aplicaciones creadas en LayerZero) y aproximadamente al 0,36 % del valor de los activos en toda la red, según la publicación. LayerZero dijo que más de 9 mil millones de dólares se han movido a través del protocolo desde el 19 de abril, el día después del exploit.

Anterior Señalar con el dedo

La disculpa es un cambio con respecto a la autopsia anterior de LayerZero, que decía que el protocolo "funcionó exactamente como se esperaba" y señaló la configuración manual de Kelp como la causa principal. Kelp DAO cuestionó públicamente esa cuenta, alegando que LayerZero había aprobado la configuración DVN 1 de 1 y anunció que migraría su infraestructura de puente al CCIP de Chainlink. El Protocolo Solv siguió días después con planes para mover más de $700 millones en tecnología bitcoin tokenizada de LayerZero.

LayerZero describió una serie de cambios desde el 19 de abril. LayerZero Labs DVN ya no ofrece configuraciones 1/1 DVN. Las configuraciones predeterminadas en todas las rutas se están migrando a 5/5 siempre que sea posible, con un mínimo de 3/3 en cadenas donde solo hay tres DVN disponibles, un cambio notable dado que un análisis reciente de Dune encontró que el 47% de las OApps LayerZero activas todavía ejecutaban una configuración 1 de 1. El equipo también está construyendo un segundo cliente DVN en Rust para la diversidad de clientes y ha reconfigurado los quórums de RPC para combinar nodos internos, externos dedicados y externos compartidos.

Incidente no reportado

La publicación también reveló un incidente separado, no reportado anteriormente, de hace tres años y medio, en el que un firmante multifirma utilizó la billetera de hardware multifirma de la compañía para ejecutar una operación personal en lugar de un dispositivo personal. LayerZero dijo que se eliminó al firmante, se rotaron las billeteras y que desde entonces la compañía agregó software de detección de anomalías a los dispositivos de firma.

LayerZero dijo que ha creado un multifirma personalizado llamado OneSig y planea elevar su propio umbral multifirma de 3 de 5 a 7 de 10 en todas las cadenas admitidas. OneSig procesa las transacciones localmente en la máquina del firmante para evitar la manipulación del backend, y cada firmante ejecuta un verificador de anomalías privado. La compañía dijo que también está lanzando Console, una plataforma para que los emisores de activos configuren y monitoreen implementaciones, con detección integrada de DVN desconocidos, cambios de propiedad y configuraciones inseguras.

LayerZero dijo que se publicará una autopsia oficial una vez que sus socios de seguridad externos concluyan su trabajo. El hack también dejó a Aave con una deuda incobrable estimada entre 124 y 230 millones de dólares, y una coalición de protocolos DeFi ha delineado un camino técnico para restaurar el respaldo de rsETH.