Kelp, anuncia migración a Chainlink… vuelve a atacar a LayerZero, acusándolos de “mantener silencio a sabiendas de fallos de seguridad”

协议 de staking líquido Kelp tras un ataque de phishing de aproximadamente 300 millones de dólares, anunció oficialmente que migrará a la protocolo de interoperabilidad entre cadenas Chainlink (CCIP). Al mismo tiempo, la disputa sobre la responsabilidad del ataque con LayerZero se ha intensificado nuevamente.

Proceso del evento

El 18 de abril de este año, un grupo de hackers presuntamente vinculado a Corea del Norte, Lazarus Group, aprovechó una vulnerabilidad en Kelp para acuñar ilegalmente 116,500 tokens rsETH de staking líquido en Ethereum. Posteriormente, los atacantes transfirieron los fondos robados a la protocolo de liquidez descentralizada Aave, prestando 106,497 ETH, lo que, según los precios de mercado en ese momento, resultó en una pérdida de entre 292 y 294 millones de dólares. Tras detectar el ataque, Kelp suspendió inmediatamente todos los contratos y logró bloquear dos transacciones sospechosas por un valor total de 100 millones de dólares.

Disputa sobre la responsabilidad

Kelp inicialmente calificó el incidente como un “ataque a la infraestructura de LayerZero”, pero LayerZero respondió que Kelp no utilizó la configuración recomendada basada en múltiples DVN (red de validadores descentralizados), sino que mantuvo una configuración de “1-1” con un solo validador, lo que presenta riesgos de seguridad, por lo que la responsabilidad recae en Kelp. David Schwartz, ex CTO de Ripple, también se unió a la discusión, señalando que el protocolo de seguridad de LayerZero es en sí mismo robusto, y que Kelp no lo adoptó por motivos de conveniencia.

Kelp respondió nuevamente el martes por la noche, señalando que actualmente el 47% de las aplicaciones en toda la cadena (OApp) todavía utilizan la misma configuración de “1-1”, y que el 90% de los mensajes procesados por esa infraestructura dependen de uno o dos DVN. Kelp enfatizó que LayerZero por defecto utiliza la estructura de “1-1” para lanzar y recomendar DVN, y que Kelp simplemente siguió sus directrices.

Además, Kelp acusó a LayerZero de mantener silencio sobre la infiltración en la red, la falta de monitoreo y los problemas de vulnerabilidades de seguridad tras detectar la intrusión en el DVN, y señaló que LayerZero solo dejó de aceptar la configuración de “1-1” en firma después de que ocurrió el ataque.

Migración a Chainlink

Para prevenir futuros ataques similares, Kelp decidió migrar su infraestructura de seguridad entre cadenas a Chainlink CCIP. Además, el estándar de tokens rsETH también cambiará del OFT (Token Homogéneo entre cadenas) de LayerZero al estándar CCT (Token entre cadenas) de Chainlink. Kelp afirmó que la red de oráculos descentralizados de Chainlink puede ofrecer una base de seguridad más elevada para la comunicación entre cadenas en comparación con LayerZero, y que el equipo central está ultimando los detalles operativos de la migración.

Según datos, a pesar del ataque y la salida de fondos en gran cantidad, el valor total bloqueado (TVL) de Kelp se mantiene en aproximadamente 1,63 mil millones de dólares, lo que indica que la comunidad aún confía significativamente en el proyecto.