Una vulnerabilidad de seguridad que sacude a todo DeFi

Autor: thedefinvestor Traducción: ShanoOPA, Jinse Caijing

Análisis completo del incidente de ataque a rsETH

La semana pasada, Kelp DAO enfrentó uno de los mayores ataques de robo en DeFi en los últimos tiempos.

Los hackers aprovecharon mensajes falsificados de cross-chain para vulnerar el puente cross-chain rsETH de Kelp DAO, respaldado por LayerZero, y sin justificación alguna emitieron 116,500 rsETH, valorados en aproximadamente 290 millones de dólares.

El ataque en sí ya tuvo consecuencias graves, y la profunda vinculación de rsETH en el ecosistema DeFi amplificó aún más el desastre. Por ejemplo, rsETH había sido listado como activo colateral compatible en Aave.

Tras la emisión ficticia de rsETH por parte de los hackers, estos inmediatamente lo usaron como garantía para tomar prestado ETH en Aave, lo que provocó una deuda incobrable de más de mil millones de dólares en Aave.

No solo Aave, el alcance del incidente fue muy amplio: protocolos como Compound, el vault EarnETH de Lido, algunos pools de préstamo de Morpho, el producto mHyperETH de Hyperithm, el vault SuperWETH de Superform, y otros, todos afectados en mayor o menor medida por poseer o estar conectados a rsETH.

¿Quién es realmente responsable del incidente?

En comparación con ataques anteriores como Drift, la responsabilidad en este caso es más compleja de determinar.

El punto de vulnerabilidad fue el puente cross-chain rsETH operado por LayerZero, no una falla en los contratos inteligentes de Kelp DAO en sí. Actualmente, las partes se están culpando mutuamente: LayerZero acusa a Kelp DAO, y Kelp DAO sostiene que la responsabilidad recae completamente en LayerZero.

Resumiendo los hechos clave de manera objetiva:

1. Los hackers vulneraron dos proveedores de servicios RPC en la red de nodos de validación distribuidos (DVN) de LayerZero, alterando datos y realizando emisión maliciosa de tokens;

2. El puente rsETH de Kelp DAO utiliza un mecanismo de validación con firma única (1/1 DVN), confiando en un solo nodo para verificar transacciones, por lo que las transacciones falsificadas pueden ser aprobadas fácilmente;

3. LayerZero acusa a Kelp DAO de usar un mecanismo de validación de baja seguridad con un solo nodo, pero LayerZero en sí mismo permite y tolera que todos los proyectos utilicen un modo de validación minimalista 1/1;

4. Antes del ataque, en las aplicaciones descentralizadas que usan la infraestructura cross-chain de LayerZero, el 47% utilizaba configuraciones 1/1 DVN, no siendo un caso aislado de Kelp DAO.

Dejando de lado los detalles técnicos complejos, es evidente que: LayerZero debe asumir la mayor responsabilidad y reconocer sus defectos de diseño.

La omisión de Kelp DAO fue simplificar excesivamente la seguridad, confiando en un solo nodo de validación; si hubieran utilizado validación multi-firma y multi-nodo, este ataque podría haberse evitado. Pero en última instancia, si los nodos RPC de LayerZero no hubieran sido comprometidos, el robo no habría ocurrido.

Evolución y respuesta del sector

Afortunadamente, cerca de un tercio de los activos robados ya han sido congelados y recuperados por Arbitrum, y las autoridades han bloqueado los fondos relacionados con los hackers.

Desde la perspectiva del concepto de descentralización, la congelación activa de activos por parte de los proyectos en la cadena genera controversia. Pero en la realidad, dado que en las redes de capa dos no se puede lograr una descentralización completa, tomar medidas para limitar pérdidas y proteger los activos de los usuarios es mucho más significativo que simplemente hablar de ideales.

Al mismo tiempo, Aave está evaluando varias soluciones para cubrir las enormes pérdidas ocasionadas por el incidente. La organización de gestión de riesgos de Aave, LlamaRisk, ha propuesto dos planes principales:

1. Compartir las pérdidas en toda la red: distribuir las daños en todas las cadenas donde opera Aave, con los prestatarios en la cadena principal de Ethereum asumiendo un 1.54% de las pérdidas;

2. Aislar las pérdidas: limitar las daños a las redes de capa dos donde los hackers usaron rsETH como garantía, con una posible pérdida del 71% para los prestatarios en la cadena Mantle.

Estas estimaciones se basan en la congelación de 30,766 ETH en Arbitrum antes de que se produjera la recuperación, por lo que la pérdida final real será mucho menor.

Además, Aave no descarta usar fondos del tesoro para cubrir parte de las malas deudas, y la cadena Mantle ya ha confirmado que está desarrollando planes para recuperar y compensar los activos.

Personalmente, espero que la solución final garantice en la mayor medida posible los derechos de los usuarios, logrando una pérdida cero o mínima. Durante mucho tiempo, Aave ha sido un referente en el sector de finanzas descentralizadas de bajo riesgo, y este incidente ha dañado gravemente su reputación.

Tras la difusión del incidente, muchas voces han comenzado a criticar la industria, afirmando que los principales protocolos están en crisis y que DeFi está en declive.

No comparto esa opinión. Al revisar su historia, la industria DeFi ha enfrentado varias crisis importantes, pero siempre ha logrado repararse, iterar y reactivarse.

DeFi no desaparecerá por esto, pero todo el sector debe afrontar los problemas: antes de buscar innovación y ganancias, la seguridad debe ser la prioridad número uno.