La disputa de LayerZero se intensifica después de que $290 millones de rsETH en puente se vaciaron

Kelp DAO desafía la versión de layerzero sobre un exploit de puente rsETH de $290 millones, argumentando que la falla provino de los propios valores predeterminados de la plataforma, no de una configuración inusual. La disputa ahora se centra en quién controlaba las claves, el código y las advertencias.

Qué ocurrió en el exploit

El sábado, los atacantes drenaron 116,500 rsETH, valorados en aproximadamente $290 millones, del puente impulsado por LayerZero de Kelp después de envenenar los servidores utilizados para verificar las transferencias. El ataque no afectó los contratos principales de re-staking de Kelp, y la pausa de emergencia se activó 46 minutos después.

Esa pausa bloqueó dos intentos posteriores que habrían liberado aproximadamente ~$200 millones en rsETH adicionales. Además, una fuente familiarizada con la respuesta de Kelp dijo que la brecha se mantuvo limitada a la capa del puente.

Cómo dice Kelp que funcionó la configuración

Kelp planea argumentar que el DVN comprometido era infraestructura propia de LayerZero, no un verificador externo elegido por el protocolo. El memorando revisado por CoinDesk indica que el ataque utilizó servidores de LayerZero que verificaban si las transacciones entre cadenas eran legítimas.

Sin embargo, la fuente de Kelp dijo que los servidores de respaldo fueron inundados con tráfico basura, lo que llevó al verificador a los nodos comprometidos. Toda esa infraestructura fue construida y gestionada por LayerZero, afirmó la fuente.

El protocolo también disputa la afirmación de que ignoró las recomendaciones para alejarse de una configuración de verificador único. A través de un canal de comunicación directo abierto desde julio de 2024, Kelp dice no haber recibido ninguna recomendación específica para cambiar la configuración del DVN de rsETH.

Por qué la configuración está bajo escrutinio

El análisis post-mortem de LayerZero afirmó que KelpDAO eligió una configuración de DVN 1-de-1 a pesar de las recomendaciones de usar redundancia multi-DVN. En la práctica, una configuración 1/1 significa que un solo validador puede aprobar un mensaje entre cadenas, mientras que las configuraciones con múltiples validadores reducen el riesgo de fallo en un solo punto.

Además, la fuente de Kelp dijo que la guía rápida de LayerZero y la configuración predeterminada en GitHub apuntan a la misma estructura 1/1. La fuente agregó que el 40% de los protocolos en LayerZero actualmente usan esa configuración.

La misma configuración aparece en la Guía rápida de LayerZero V2 OApp, donde el archivo layerzero.config.ts de ejemplo asigna un DVN requerido y ningún DVN opcional. Ese es exactamente el modelo que Kelp dice haber seguido.

Los críticos dicen que la culpa está mal ubicada

Los investigadores de seguridad también están reaccionando. Artem K, desarrollador del equipo principal de Yearn Finance, conocido en X como @banteg, dijo que el código de despliegue público de LayerZero usa valores predeterminados de verificación de fuente única en Ethereum, BSC, Polygon, Arbitrum y Optimism.

También señaló que el despliegue deja un punto final público expuesto, lo que filtra la lista de servidores configurados a cualquiera que lo consulte. Dicho esto, afirmó que no puede probar qué configuración usó Kelp.

Zach Rynes, gerente de comunidad de Chainlink, fue más contundente en X, acusando a LayerZero de desviar la responsabilidad y de echarle la culpa a Kelp por confiar en una configuración que LayerZero apoyaba. Dijo que la compañía intentaba cambiar la culpa por su propia infraestructura comprometida.

CoinDesk contactó a LayerZero para comentarios y no recibió respuesta antes de la publicación. Mientras tanto, LayerZero ha prometido dejar de firmar mensajes para cualquier aplicación que use una configuración de verificador único, lo que forzará una migración más amplia en toda su red.

Al final, la disputa sobre este incidente de layerzero ya no es solo sobre un puente. Se ha convertido en una prueba de documentación, valores predeterminados y responsabilidad en la seguridad entre cadenas.