coin-img-ETHETH+0.81%coin-img-BTCBTC+1.06%coin-img-SOLSOL+0.76%coin-img-OPGOPG+126.20%coin-img-SMARTTOOLSSMARTTOOLS+416.31%coin-img-TOMTOM+60.47%coin-img-USDCUSDC+0.02%coin-img-XRPXRP+0.75%coin-img-ETHETH+0.81%coin-img-BTCBTC+1.06%coin-img-SOLSOL+0.76%coin-img-OPGOPG+126.20%coin-img-SMARTTOOLSSMARTTOOLS+416.31%coin-img-TOMTOM+60.47%coin-img-USDCUSDC+0.02%coin-img-XRPXRP+0.75%coin-img-ETHETH+0.81%coin-img-BTCBTC+1.06%coin-img-SOLSOL+0.76%coin-img-OPGOPG+126.20%coin-img-SMARTTOOLSSMARTTOOLS+416.31%coin-img-TOMTOM+60.47%coin-img-USDCUSDC+0.02%coin-img-XRPXRP+0.75%coin-img-ETHETH+0.81%coin-img-BTCBTC+1.06%coin-img-SOLSOL+0.76%coin-img-OPGOPG+126.20%coin-img-SMARTTOOLSSMARTTOOLS+416.31%coin-img-TOMTOM+60.47%coin-img-USDCUSDC+0.02%coin-img-XRPXRP+0.75%

El hackeo de Kelp DAO reabre el debate sobre puentes cross-chain y la seguridad de las capas 2

Más de 40 horas después del robo, el caso Kelp DAO sigue ampliando su onda expansiva. En la conversación ya aparecen nombres como Aave, LayerZero y Arbitrum, y algunas de las narrativas más populares del sector se ven cuestionadas. En X, el KOL Feng Wuxiang llegó a afirmar que "solo ETH es seguro", mientras señalaba que ARB habría autorizado el congelamiento de activos de clientes: "Ninguna L2 es ya una L2 real. Las L2 subieron con Arbitrum y caerán con Arbitrum". Otro KOL conocido, Lanhu, sostuvo que el gran damnificado no era Aave ni Kelp, sino LayerZero, y que el episodio no desacredita a las L2 (incluso las "L2 falsas" serían aceptables), sino a los puentes cross-chain. Con acusaciones cruzadas y posturas cada vez más polarizadas, el incidente se ha convertido en un caso de estudio sobre el reparto de responsabilidades de seguridad y el choque entre pragmatismo y fundamentalismo tecnológico. I. ¿Queda en entredicho L0? Los puentes cross-chain, en el foco El detonante fue el informe técnico que LayerZero publicó ayer sobre el ciberataque. El documento atribuye de forma preliminar la autoría al grupo Lazarus, vinculado presuntamente a Corea del Norte. Según LayerZero, los atacantes comprometieron la infraestructura RPC aguas abajo de la que depende su red de verificación descentralizada (DVN): tomaron control de ciertos nodos RPC y coordinaron un ataque DDoS para forzar el failover hacia nodos maliciosos, con lo que pudieron falsificar transacciones cross-chain. "Usar nodos comprometidos para envenenar la infraestructura RPC, combinado con DDoS sobre RPC no afectadas para forzar el failover, es un enfoque extremadamente sofisticado. Es, en esencia, una guerra de infraestructura", valoró Samuel Tse, responsable de inversión y alianzas en Animoca Brands. LayerZero concluyó que el protocolo "operó exactamente como estaba previsto" y que no se hallaron vulnerabilidades. Reivindicó su arquitectura de seguridad modular y aseguró que el ataque quedó aislado en una sola aplicación, sin riesgo de contagio y sin impacto en otros OFT u OApp. Esa lectura, percibida por muchos como una desvinculación total de responsabilidad, provocó una fuerte reacción. El investigador CM cuestionó que se permita una configuración 1/1, pidió explicaciones sobre cómo se obtuvo acceso a la lista interna de RPC y criticó que la lógica de failover, tras el DDoS, confiara ciegamente en RPC comprometidos sin detener validaciones ni activar salvaguardas mínimas. El desarrollador DeFi banteg señaló que la nota afirmaba que "el protocolo funciona como se espera" y describía el incidente como compromiso y "envenenamiento" de RPC, pero sin detallar cómo se produjo la intrusión. Por ese motivo, dijo, no se apresuraría a reactivar el puente. Kelp DAO también emitió su comunicado: sostuvo que la configuración de validador único (1/1) que habilitó el ataque no fue una decisión en contra de recomendaciones, sino el ajuste por defecto en las guías oficiales de LayerZero, y que la red DVN explotada forma parte de la propia infraestructura de LayerZero. Según un análisis en Dune, de los 2.665 contratos OApp construidos sobre LayerZero, el 47% utiliza una configuración DVN 1/1, es decir, un único mecanismo de verificación, lo que multiplica el riesgo sistémico. En el mercado se impone la idea de que, aunque LayerZero no fue hackeado de forma directa, sí concentra el mayor daño reputacional. La crítica apunta a que "permitir configuraciones débiles" puede erosionar la confianza en el relato cross-chain. El mensaje también es operativo: además de mejoras técnicas claras, se espera que LayerZero asuma más peso en un plan de compensación. II. ¿Está muerta Layer 2? La congelación sin precedentes de Arbitrum El debate sobre L2 se encendió por la intervención de Arbitrum. Hoy al mediodía, el Consejo de Seguridad de Arbitrum anunció una acción de emergencia para rescatar 30.766 ETH que el hacker mantenía en una dirección de Arbitrum One, valorados en ese momento en 71 millones de dólares. Arbitrum afirmó que, tras una investigación técnica y deliberación, identificó e implementó una solución para trasladar los fondos a un lugar seguro sin afectar a ningún otro estado de la cadena ni a los usuarios. La dirección original ya no puede acceder a los activos; cualquier movimiento posterior queda bajo la autoridad de gobernanza de Arbitrum y se coordinará con las partes implicadas. Fuentes del sector explicaron que el Consejo de Seguridad empleó un tipo de transacción con privilegios de "state override" (parte de ArbOS y prácticamente nunca utilizado) que permite que la clave privada del atacante siga firmando, mientras la cadena transfiere el ETH desde esa dirección. Este mecanismo elude por completo la clave del atacante y solo puede ser inyectado por la propia cadena (a través del secuenciador o la vía de actualización de ArbOS), bajo control del Consejo de Seguridad. El Consejo de Seguridad de Arbitrum está formado por 12 personas elegidas por el Arbitrum DAO y las decisiones requieren la aprobación de al menos 9 de los 12 miembros. La medida agitó al mercado porque muchos asumían que, como solución Layer 2, Arbitrum no tendría capacidad ni legitimidad para intervenir sobre ETH de usuarios sin contradecir el espíritu descentralizado. En episodios anteriores, USDT y USDC robados se congelaban con rapidez por Tether y Circle. ETH, como activo nativo, no se había congelado ni transferido "por la cadena", algo que excede la expectativa de la mayoría. Una parte de la comunidad defendió el movimiento con argumentos como: "Todas las empresas, bancos e instituciones financieras reguladas acabarán adoptando soluciones layer two. Operar como una entidad centralizada en momentos críticos no es un defecto, es una ventaja". Para muchos entusiastas técnicos, el coste narrativo es demasiado alto: "Sin clave privada, sin autorización, transferencias directas". Lan Hu lo resumió como una vulneración de la línea ideológica de DeFi: "Not Your keys, not your coins". El episodio reabre el dilema clásico de cripto: seguridad pragmática frente a seguridad plenamente descentralizada. Conclusión LayerZero sostuvo que el protocolo funcionó "como estaba previsto": ganó corrección técnica, perdió opinión pública y confianza. Arbitrum usó transacciones privilegiadas para mover 71 millones de dólares en ETH: salvó fondos, dañó con fuerza el relato de descentralización de las L2. El robo de Kelp pone a juicio dos grandes narrativas: ¿los puentes cross-chain son infraestructura o amplificadores de riesgo? ¿las Layer 2 son una extensión fiable de Ethereum o "bancos secundarios" con apariencia descentralizada? La secuencia deja un cierre irónico: un protocolo que presume de descentralización cae por un "punto único de fallo" (validación única) y termina recurriendo a los "privilegios centralizados" de otro protocolo para resolver el daño. El sector queda ante una pregunta incómoda: cuando el ideal de descentralización choca con el coste real de la seguridad, ¿qué estamos dispuestos a sacrificar? La narrativa domina el debate público, pero el otro foco es la compensación. Aunque Arbitrum haya recuperado más de 70 millones de dólares por vía técnica, Aave afronta cerca de 200 millones de dólares en deuda incobrable. ¿Cómo se protege a los usuarios? Aave planteó hoy dos opciones para gestionar esa deuda: (1) socializar las pérdidas entre todos los tenedores de rsETH (reparto a nivel global), con Kelp DAO aplicando una rebaja uniforme del valor de todos los rsETH (mainnet + L2) de aproximadamente un 15% de depeg; (2) que solo los tenedores de rsETH en L2 asuman el total de las pérdidas, manteniendo el rsETH en mainnet su valor original. Kelp DAO y el equipo oficial de LayerZero no han detallado aún qué papel jugarán en la compensación. El tono del informe de LayerZero, orientado a marcar distancia con la responsabilidad, apunta a que el proyecto interpreta que, si no hay responsabilidad, tampoco hay obligación de compensar. Para un protocolo valorado en miles de millones y utilizado por cientos de proyectos como infraestructura base, desvincularse "técnicamente" de pérdidas masivas derivadas de una configuración por defecto del DVN subraya, en sí mismo, una ironía sobre lo que significa "infraestructura". El caso se asemeja a un dilema del prisionero: en plena crisis, cada parte intenta minimizar su daño mediante "benefit slicing" en lugar de compartir responsabilidad y reparar el déficit de confianza del sector. Por el impacto transversal sobre el ecosistema, en DeFi podría convertirse en el dilema del prisionero más peligroso hasta la fecha.
Seleccionado
AAVE
AAVE+4.58%
ARB
ARB-0.78%
Descargo de responsabilidad: El contenido anterior es solo la opinión del autor y no representa la postura de BingX. No debe interpretarse como un consejo de inversión por parte de BingX. Para obtener más información, consulta los Términos y condiciones.