Cryptonews

Los riesgos de LayerZero aumentan a medida que los desarrolladores impulsan el debate sobre seguridad

Source
CryptoNewsTrend
Published
Los riesgos de LayerZero aumentan a medida que los desarrolladores impulsan el debate sobre seguridad

Un acalorado debate estalló en el ETHSecurity Community Telegram Group entre Bryan Pellegrino (cofundador y director ejecutivo de LayerZero) de LayerZero e investigadores de seguridad. El debate giró sobre un contrato de biblioteca predeterminado que LayerZero Labs podría actualizar sin un bloqueo de tiempo, poniendo más de $3 mil millones en tokens fungibles LayerZero Omnichain (LZ OFT) en riesgo de verse comprometidos de manera similar al reciente hack de rsETH.

The Spark: Biblioteca predeterminada vulnerable expuesta

El investigador de seguridad destacó el hecho de que el contrato de biblioteca predeterminado de LayerZero permitió al equipo realizar actualizaciones instantáneas sin ningún mecanismo de demora como un bloqueo de tiempo. Con esta configuración, los miembros del equipo podrían falsificar un mensaje entre cadenas que podría imitar el exploit rsETH donde los atacantes drenaron fondos falsificando verificaciones.

Proyectos como Ethena y EtherFi utilizaban esta biblioteca predeterminada hace apenas unas semanas, según el investigador Banteg. Incluso ahora, los datos en cadena muestran que el valor de 178 millones de dólares de varios proyectos sigue expuesto a este riesgo si se abusa del control de LayerZero Labs.

El desarrollador de Yearn, Banteg, intensificó todo el asunto después de advertir que muchos protocolos todavía dependían peligrosamente de la configuración multifirma predeterminada 3 de 5 de LayerZero. Argumentó que los proyectos que dependían de la biblioteca de recepción predeterminada sin protecciones más sólidas se exponían a riesgos innecesarios, ya que cualquier compromiso del multisig de LayerZero podría permitir a los atacantes agotar los adaptadores conectados instantáneamente.

Después del exploit Kelp, Banteg estimó que los adaptadores vulnerables inicialmente representaban alrededor de $3,13 mil millones en exposición potencial, aunque esa cifra luego cayó significativamente después de que algunos proyectos reforzaron sus configuraciones.

A pesar de estos avances, destacó que muchos protocolos aún siguen siendo vulnerables. Al publicar una guía técnica exacta para la seguridad de estas integraciones, Banteg cambió el debate de la teoría al riesgo procesable, reavivando las preocupaciones sobre las dependencias centralizadas de LayerZero.

LayerZero no necesita actuar maliciosamente para que surja un peligro; cualquier compromiso de sus sistemas podría provocar un ataque a la cadena de suministro en todos los proyectos dependientes. Esto refleja auditorías anteriores que señalaron riesgos similares de partes confiables en los contratos Endpoint y UltraLightNode de LayerZero.

Firmantes multifirma atrapados en actividades de alto riesgo

La evidencia en cadena mostró que los firmantes multifirma de producción de LayerZero's Labs, algo que está destinado a asegurar miles de millones, se utilizaron para actividades personales riesgosas. Estos incluyeron el comercio de memecoin McPepes (PEPES) en Uniswap, intercambios DEX y activos puente, exponiendo claves a sitios de phishing.

Zach Rynes, una figura de la comunidad Chainlink, lo llamó en X (anteriormente conocido como Twitter). Lo calificó como un fracaso total de las operaciones básicas de seguridad y del aislamiento de claves, lo que generó temores de ataques a la cadena de suministro.

Bryan de LayerZero afirmó que estaban probando la “integración OFT de $PEPE”, pero los críticos señalaron que $PEPE ni siquiera se había implementado todavía, y McPepes es un token completamente diferente. Este mal manejo de las claves de producción explica su anterior vulnerabilidad de hackeo en Corea del Norte, donde Lazarus Group los atacó a través de RCP comprometidos.

Historia de problemas de seguridad de LayerZero

LayerZero Labs se ha enfrentado a un escrutinio repetido por fallos de opsec. Los piratas informáticos de Corea del Norte lograron infiltrarse en su infraestructura, falsificando datos RPC en el exploit KelpDAO rsETH que robó entre 290 y 292 millones de dólares, de lo que LayerZero atribuyó a la configuración única de DVN de Kelp.

Informes anteriores como ZeroValidation detallaron exploits multifirma que permiten mensajes arbitrarios sin una aprobación adecuada; los proyectos que migran los citan como signos de riesgos centralizados que se extienden a los fondos de los usuarios.

El hack de rsETH mostró cómo las configuraciones débiles amplifican los peligros, con LayerZero deteniendo las firmas para aplicaciones de verificación de solteros después del incidente. Los críticos argumentan que los valores predeterminados empujan a los usuarios a tomar caminos riesgosos sin advertencias claras.

Bryan vs Investigadores: Choque en Telegram

En el debate de ETHSecurity Telegram, Bryan defendió LayerZero, pero los investigadores rechazaron los riesgos de la biblioteca y el mal uso de multifirma. Hicieron hincapié en que las claves de producción conectadas a DEX y al comercio de memecoins son un cebo de phishing, especialmente después de la violación de Corea del Norte. Bryan desestimó algunas afirmaciones, pero el grupo destacó una exposición OFT de más de $3 mil millones.

Reacción de los influencers y cambios de proyecto

Otro criptoinfluencer, Ed, publicó en X y argumentó que los defensores del protocolo pasaron por alto un problema importante: su propia infraestructura centralizada había sido comprometida.

KelpDAO, después del exploit vinculado a LayerZero del 18 de abril, anunció su migración de rsETH a Chainlink CCIP por preocupaciones sobre la seguridad de la infraestructura y preguntas sin respuesta sobre el ecosistema.

El protocolo Solv ahora ha seguido con una transición aún mayor. El protocolo está alejando más de 700 millones de dólares del ecosistema SolvBTC y xSolvBTC de los puentes LayerZero después de la revisión de seguridad.

En conjunto, estas migraciones consecutivas resaltan un cambio creciente en la industria, a medida que los principales protocolos priorizan cada vez más garantías de seguridad más sólidas, monitoreo proactivo e infraestructura entre cadenas de nivel institucional.

Estas migraciones