El protocolo multicadena refuerza las defensas para las transferencias envueltas de Ethereum luego de un atraco de casi $300 millones en una plataforma rival

Ether.fi ha revelado su respuesta completa al exploit rsETH del 18 de abril que afectó a Kelp DAO. Un mensaje falsificado entre cadenas liberó aproximadamente $292 millones en rsETH sin respaldo durante el incidente. Ningún sistema de la plataforma se vio directamente comprometido. Las bóvedas de EtherFi Liquid tampoco tuvieron exposición directa a rsETH. El evento expuso una vulnerabilidad crítica en la infraestructura de mensajería entre cadenas de DeFi. Esto llevó al protocolo a ejecutar un refuerzo de seguridad en todo el protocolo en las 20 cadenas donde está implementado weETH. La causa principal del exploit fue una configuración de DVN único que carecía de redundancia. El puente de Ether.fi había aplicado previamente dos o más DVN en todas las rutas. Aun así, el incidente provocó una revisión completa y tres medidas concretas de endurecimiento. La primera solución implicó la fijación de una biblioteca de mensajes en cada vía weETH. Ether.fi fijó las direcciones SendUln302 y RecibirUln302 en la ranura de configuración específica de OApp de weETH. Esto impidió que el multisig de LayerZero se intercambiara en una biblioteca que omite la verificación DVN. La ruta alternativa se ha cerrado completamente en todas las cadenas. Luego, el protocolo fijó su conjunto de cuatro DVN y elevó el umbral de verificación a 4/4. Cada mensaje weETH entrante ahora requiere la certificación de los cuatro DVN. Un único DVN malicioso o no disponible detiene el mensaje en lugar de omitirlo. LayerZero revisó y confirmó de forma independiente la configuración actualizada. Además, la plataforma endureció los límites de tarifas por ruta en todos los contratos puente que controla. Cada ruta de origen y destino ahora impone un límite conservador de weETH entrante y saliente. Estos límites se encuentran en contratos totalmente controlados por el protocolo. Siguen siendo eficaces independientemente del comportamiento del proveedor de puentes ascendente. Más allá de las soluciones inmediatas, el protocolo está evaluando un segundo proveedor puente independiente para reducir el riesgo sistémico. Actualmente se están considerando Chainlink CCIP y Wormhole junto con LayerZero. Los mensajes weETH entre cadenas requerirían la certificación de un quórum de proveedores. Esta medida elimina por completo la dependencia de un solo proveedor. Tras una evaluación sistemática de riesgos L2, ether.fi está desaprobando el puente weETH en ocho redes. Scroll, Swell, Bera, zkSync, Mode, Blast, Morph y Sonic quedarán obsoletos a partir de finales de junio. Para cerrar la brecha de coordinación en DeFi, ether.fi se une al colectivo DeFi United. La coalición reúne a Aave, Kelp DAO, LayerZero y ether.fi. Los estándares de seguridad compartidos y las respuestas coordinadas a incidentes son su enfoque principal. Este enfoque garantiza que ningún protocolo enfrente por sí solo una falla entre cadenas. La Fundación EtherFi está contribuyendo con 5000 ETH a un vehículo de ayuda dedicado a DeFi United. Otros socios del colectivo también están contribuyendo junto con ether.fi. Cuando ocurran fallas futuras, la coalición apunta a que el ecosistema responda como uno solo.