Kelp DAO rechaza el relato de LayerZero sobre el hackeo de 290 millones de dólares y apunta a la configuración por defecto

El cruce de acusaciones en el sector cripto recuerda hoy al meme de Spider-Man: Kelp DAO prepara una respuesta al informe post mortem de LayerZero sobre el ataque del domingo que costó unos 290 millones de dólares, según una fuente de L2 familiarizada con el asunto citada por CoinDesk. CoinDesk revisó y verificó el memorando que Kelp prevé publicar. En él, el protocolo cuestiona la tesis de LayerZero de que Kelp desoyó avisos repetidos para abandonar un esquema de verificación con un único validador. Kelp es un protocolo de "liquid restaking": recibe ether depositado por usuarios, lo canaliza a través de EigenLayer para generar rendimiento y emite a cambio un token recibo, rsETH. LayerZero aporta la infraestructura de mensajería entre cadenas que permite mover rsETH entre blockchains. Para validar las transferencias usa DVN (decentralized verifier networks), entidades encargadas de confirmar si un envío cross-chain es legítimo. El sábado, los atacantes drenaron 116.500 rsETH, valorados en torno a 290 millones de dólares, del puente de Kelp basado en LayerZero. El vector, según la fuente, consistió en envenenar los servidores de los que dependía el verificador de LayerZero para comprobar transacciones. Kelp sostiene que el DVN comprometido en lo que califica como un "ataque sofisticado patrocinado por un Estado" pertenecía a la propia infraestructura de LayerZero, no a un verificador de terceros. De acuerdo con esa versión, los atacantes comprometieron dos servidores de LayerZero que verificaban la legitimidad de las transacciones entre cadenas y, después, saturaron los servidores de respaldo con tráfico basura para forzar al verificador a operar sobre los sistemas comprometidos. La fuente afirma que esa infraestructura fue construida y operada por LayerZero, no por Kelp. Kelp también cuestiona el encuadre de LayerZero sobre la llamada "configuración 1/1". El informe de LayerZero señaló que Kelp DAO eligió un esquema 1 de 1 DVN pese a las recomendaciones de configurar redundancia multi-DVN. En una "1/1" basta la aprobación de un único validador para que el puente ejecute el mensaje, sin una segunda comprobación que detecte instrucciones falsificadas o derivadas de un compromiso. Configuraciones con múltiples validadores (2/3, 3/5, etc.) evitan un punto único de fallo. La fuente sostiene que, en el canal de comunicación directo con LayerZero abierto desde julio de 2024, no recibieron una recomendación específica para cambiar la configuración del DVN de rsETH. Añade que la guía "quickstart" de LayerZero y la configuración por defecto en GitHub apuntan precisamente a un esquema 1/1, y que el 40% de los protocolos en LayerZero estarían usando hoy esa misma configuración. El ejemplo de LayerZero en V2 OApp Quickstart también conectaría cada ruta con un DVN obligatorio y ningún DVN opcional, replicando la estructura 1/1. Kelp asegura que sus contratos principales de restaking no fueron afectados y que el incidente se limitó a la capa del puente. El protocolo activó una pausa de emergencia 46 minutos después del drenaje y afirma que con ello bloqueó dos intentos posteriores que habrían liberado unos 200 millones de dólares adicionales en rsETH. CoinDesk solicitó comentarios a LayerZero y no recibió respuesta antes de la publicación. Varios investigadores de seguridad tampoco comparten el enfoque de LayerZero de atribuir el fallo a Kelp. La fuente citada recalca que la competencia central de Kelp es la infraestructura de staking, la integración con EigenLayer y la gestión de tokens líquidos, y que en la integración con LayerZero se apoyaron en su documentación, sus valores por defecto y la orientación del equipo para tomar decisiones de configuración. Artem K, desarrollador del equipo core de Yearn Finance conocido en X como @banteg, publicó una revisión técnica del código de despliegue público de LayerZero y afirmó que la configuración de referencia se entrega con verificación de fuente única por defecto en las principales cadenas, incluidas Ethereum, BSC, Polygon, Arbitrum y Optimism. Ese despliegue también dejaría expuesto un endpoint público que revela la lista de servidores configurados a cualquiera que lo consulte. Banteg señaló que no puede demostrar qué configuración utilizó Kelp, pero apuntó que LayerZero suele pedir a nuevos operadores que empleen su configuración por defecto, la misma que el post mortem criticó. Zach Rynes, community manager de Chainlink, fue más directo en X: sostuvo que LayerZero estaba "desviando responsabilidades" por el compromiso de su propia infraestructura y acusó a la empresa de cargar contra Kelp por confiar en un esquema que LayerZero respaldaba. En este contexto, LayerZero afirmó que dejará de firmar mensajes para cualquier aplicación que opere con verificación de un solo validador, lo que obligará a una migración a nivel de protocolo. Más información: "DeFi está muerto": la comunidad cripto se moviliza tras el mayor hackeo del año y el riesgo de contagio