¿Quién debería pagar por la "configuración predeterminada"? Medio mes después del robo de rsETH, el CEO de LayerZero "asumió la responsabilidad de manera proactiva"

null

Escrito por: Yangz, Techub News

En el mundo de Web3 que nunca duerme, el 18 de abril parecía ser un día común y corriente. Sin embargo, para la pista de reembolso de liquidez y para todo el ecosistema DeFi, una «revolución» que podría ser recordada en los anales de la historia ocurrió silenciosamente en la cadena. En menos de una hora, un hacker (presuntamente del Grupo Lazarus) utilizó el puente entre cadenas de Kelp DAO para acuñar de la nada 116,500 rsETH, valorados en aproximadamente 292 millones de dólares. Considerando que el rsETH se usa ampliamente como colateral, el hacker no vendió de inmediato, sino que transfirió estos «certificados de aire» sin valor a protocolos de préstamo principales como Aave, obteniendo alrededor de 236 millones de dólares en ETH, empujando a Aave y otros protocolos líderes a una situación de incumplimiento.

Este no fue el primer ataque a un puente entre cadenas, pero esta vez rompió una herida que ha persistido en la industria de Web3: cuando la infraestructura básica (capa de protocolo) y la capa superior (aplicaciones) se encuentran en un vacío, ¿quién debe pagar por los miles de millones en activos desaparecidos?

En más de medio mes, esta crisis se ha convertido en un enfrentamiento abierto sobre tecnología, responsabilidad y poder. Desde la primera fase de «echarse la culpa mutuamente», hasta la declaración del CEO de LayerZero de «asumir la responsabilidad proactivamente», esto marca un punto de inflexión en el debate sobre los límites de la responsabilidad.

El mortal «1/1 DVN»

Para entender este debate, primero hay que desglosar la técnica de ataque del hacker. Curiosamente, este ataque no se debió a una vulnerabilidad compleja en un contrato inteligente, sino a un parámetro de configuración: el DVN 1/1.

Este llamado DVN, que significa red de validadores descentralizados, es un componente responsable de verificar los mensajes entre cadenas en la arquitectura de LayerZero V2. La configuración 1/1 significa que: con la firma de un solo validador, el mensaje entre cadenas se considera legítimo y se ejecuta. Peor aún, el control de esta «llave» no está completamente en manos de Kelp, sino que depende del nodo RPC subyacente. El hacker, mediante envenenamiento del nodo RPC y un ataque DDoS, secuestró ese único nodo validador, enviándole registros falsos de «quema en la cadena fuente». El validador creyó en ello, firmó, y así esa gran cantidad de activos apareció de la nada.

Entonces, ¿quién debe asumir la culpa por este «DVN 1/1»?

Echarse la culpa mutuamente: el choque de dos lógicas

En los primeros momentos tras el ataque, la opinión pública inicialmente apuntaba a LayerZero. Las redes sociales estaban llenas de críticas mordaces a Kelp DAO: como un protocolo líder que administra cientos de millones de dólares, usar un sistema de «un solo validador» tan frágil era casi imperdonable.

Sin embargo, cuando el 21 de abril Kelp publicó una «explicación oficial», ocurrió un giro dramático en la opinión pública. La principal argumentación de Kelp fue una sola frase: si la documentación oficial y la configuración predeterminada son peligrosas, la responsabilidad recae en quienes escribieron la documentación y establecieron los valores predeterminados. No fue un error del usuario, sino una «deficiencia de orientación» en el producto mismo. Aunque el CEO de LayerZero, Bryan Pellegrino, reiteró varias veces que esto era una decisión de la capa de aplicación y no una vulnerabilidad del protocolo, la atención se desplazó de la «ineptitud» de Kelp a la «arrogancia sistémica» de LayerZero — que, sabiendo los riesgos de la configuración predeterminada, la usó como ejemplo estándar para una entrada rápida.

Además, las voces de desarrolladores externos también intensificaron la controversia. Banteg, desarrollador principal de Yearn, descubrió mediante revisión técnica que la guía de inicio rápido de LayerZero V2 en Ethereum, BNB Chain, Polygon, Arbitrum y Optimism usaba esa peligrosa validación de fuente única como configuración predeterminada. Zach Rynes, responsable de la comunidad de Chainlink, criticó aún más duramente: acusó a LayerZero de convertir a los usuarios que siguen sus directrices oficiales en «chivos expiatorios», para encubrir la vulnerabilidad de su infraestructura ante ataques de hackers de alto nivel.

Entonces, ¿quién tiene la culpa? En realidad, ninguno está completamente equivocado ni completamente correcto. La esencia del debate es un choque entre dos lógicas: una es la «ética de los geeks»: las herramientas son neutrales, y los usuarios deben responsabilizarse de sus decisiones. La otra es el «principio de seguridad por defecto»: los productos deben salir en su estado más seguro posible. Los usuarios pueden reducir la barrera de entrada por conveniencia, pero los productos no deberían guiar a los usuarios hacia el peligro.