LayerZero dice que "cometió un error" en el exploit Kelp de 292 millones de dólares

LayerZero dijo el viernes por la noche, hora de EE. UU., que "cometió un error" al permitir que su propia infraestructura de verificación protegiera activos criptográficos de alto valor en una configuración vulnerable, lo que marcó un cambio de tono notable después de semanas de culpar al desarrollador Kelp DAO por un hackeo de 292 millones de dólares vinculado a atacantes norcoreanos.

La admisión marca un cambio notable después de semanas de acusaciones públicas entre LayerZero y Kelp sobre la responsabilidad del hack de abril, que LayerZero inicialmente había enmarcado como una falla de configuración a nivel de aplicación por parte de Kelp.

"Lo primero es lo primero: una disculpa tardía", escribió LayerZero en un blog publicado el viernes.

LayerZero inicialmente culpó a Kelp, argumentando que el protocolo había elegido una configuración arriesgada "1 de 1" en la que solo una única red de verificación descentralizada, o DVN, necesitaba aprobar las transferencias entre cadenas, creando un único punto de falla. Un DVN es parte de la infraestructura que verifica si una transacción que mueve activos entre blockchains es legítima.

"Cometimos un error al permitir que nuestro DVN actuara como un DVN 1/1 para transacciones de alto valor", dijo la compañía. "No controlamos lo que nuestro DVN estaba asegurando, lo que creó un riesgo que simplemente no vimos. Somos dueños de eso".

Para contrarrestar esto, LayerZero Labs dijo que su DVN ya no brindará servicio a configuraciones 1/1 DVN. Además, "todos los valores predeterminados en todas las rutas se están migrando a 5/5 cuando sea posible y no menos de 3/3 en cualquier cadena donde solo hay 3 DVN disponibles", decía el blog.

Los puentes entre cadenas actúan como rieles de transferencia digital entre redes blockchain que de otro modo estarían separadas, pero han estado durante mucho tiempo entre las piezas de infraestructura más vulnerables de las criptomonedas.

LayerZero sostuvo que su protocolo subyacente no estaba comprometido y reiteró que los desarrolladores son, en última instancia, responsables de configurar sus propios supuestos de seguridad.

"El protocolo LayerZero no se vio afectado", dijo la compañía, atribuyendo el exploit a un ataque a la infraestructura RPC interna utilizada por LayerZero Labs DVN, mientras que los proveedores de RPC externos fueron afectados simultáneamente por ataques distribuidos de denegación de servicio.

Además, Layer Zero dijo que hace tres años y medio, uno de sus firmantes en nuestro multisig usó su billetera de hardware multisig para realizar una transacción personal, con la intención de usar su propia billetera de hardware personal. Está tomando medidas contra tales medidas y dijo: "Esto obviamente no está bien".

"Este firmante fue eliminado del multisig, las billeteras rotadas y desde entonces actualizamos nuestras prácticas de seguridad en torno a los dispositivos de firma, agregamos software de detección de anomalías localizado en cada dispositivo y creamos un multisig personalizado llamado OneSig".

Los competidores, incluido Chainlink, están aprovechando las consecuencias para ganar negocios con protocolos que reconsideran a sus proveedores de seguridad.

Kelp ya ha trasladado su puente rsETH al protocolo de interoperabilidad entre cadenas de Chainlink, mientras que Solv Protocol dijo esta semana que está migrando más de $ 700 millones en infraestructura de bitcoin tokenizada fuera de LayerZero luego de una nueva revisión de seguridad.