Chainalysis señala un punto ciego crítico en la seguridad de las finanzas descentralizadas (DeFi), ya que un ataque que ha supuesto pérdidas por valor de 292 millones de dólares ha eludido la verificación de la quema

• Chainalysis señala un ataque a KelpDAO que pone de manifiesto un fallo crítico en las suposiciones de confianza entre cadenas.
• El análisis reveló que los fallos de diseño de Layerzero pueden permitir que un solo validador eluda las medidas de seguridad de DeFi.
• Los protocolos se enfrentan a riesgos cada vez mayores, ya que Chainalysis señala que los fallos ocultos pueden eludir la detección.

Los fallos de los puentes entre cadenas exponen los riesgos de seguridad de DeFi

La empresa de análisis de blockchain Chainalysis destacó el 20 de abril una vulnerabilidad en las finanzas descentralizadas (DeFi) por valor de 292 millones de dólares, que puso de manifiesto debilidades críticas en el diseño de los puentes entre cadenas. El incidente relacionado con la infraestructura rsETH de KelpDAO demostró cómo las entradas manipuladas pueden eludir los sistemas de validación. El caso pone de manifiesto la creciente preocupación en torno a los supuestos de confianza integrados en los protocolos multichain. Chainalysis declaró en la plataforma de redes sociales X:

«El ataque al puente KelpDAO / rsETH, por valor de unos 292 millones de dólares, pone de manifiesto un punto ciego crítico en la seguridad de las DeFi».

La empresa explicó que la brecha se originó en una capa de confianza defectuosa, más que en contratos inteligentes defectuosos. Los atacantes se centraron en la infraestructura de LayerZero que da soporte a KelpDAO, aprovechando un quórum de validadores de 1 de 1. Esa configuración dependía de puntos finales limitados de llamada a procedimientos remotos, lo que creaba un único punto de fallo. Una vez comprometida, esa vía permitió aprobaciones no autorizadas sin un consenso más amplio. El proveedor de análisis describió cómo el sistema aceptaba condiciones manipuladas como válidas, lo que permitía que el exploit se llevara a cabo sin ser detectado por las medidas de seguridad estándar.

Los fallos invariables ponen de relieve la necesidad de una supervisión en tiempo real

El atacante se infiltró en las entradas de datos del validador al comprometer los puntos finales RPC. La información falsa hizo que el sistema registrara un evento de quema inventado en la cadena de origen. «Basándose en este estado falso, el puente aprobó el mensaje y liberó 116 500 rsETH en Ethereum al atacante. En realidad, nunca se produjo la quema correspondiente. La seguridad estándar no lo detectó en absoluto porque las transacciones se ejecutaron exactamente como estaban diseñadas a nivel de código», explicó Chainalysis. Esta secuencia rompió una invariante fundamental del puente que exigía la paridad entre los activos quemados y los tokens emitidos. A pesar de la correcta ejecución del código, la dependencia de la integridad de los datos externos permitió que el exploit tuviera éxito. Chainalysis concluyó con una advertencia más amplia, afirmando:

«Este ataque demuestra que detectar código malicioso no es suficiente; los protocolos deben detectar cuándo un sistema entra en un estado imposible».

La empresa señaló la necesidad de sistemas de supervisión continua capaces de validar la coherencia entre cadenas en tiempo real. Herramientas como los marcos de seguimiento de invariantes pueden identificar discrepancias entre los activos bloqueados y los fondos liberados. Estos mecanismos pueden permitir a los protocolos detener las operaciones antes de que las pérdidas se agraven, lo que refuerza la importancia de verificar el estado de todo el sistema en lugar de confiar únicamente en las auditorías de código.