KelpDAO critica duramente a Layerzero tras un ataque que supuso pérdidas de 300 millones de dólares y traslada rsETH a Chainlink CCIP

La disputa sobre la configuración de la red

KelpDAO ha emitido una respuesta contundente a Layerzero Labs tras un ataque del 18 de abril que supuso la pérdida de más de 300 millones de dólares en activos DeFi, principalmente en forma de rsETH. En una declaración pública que contradice el análisis oficial posterior al incidente de Layerzero, KelpDAO alega que el proveedor del puente está «culpando a los usuarios» de un fallo sistémico en su propia infraestructura central.

El ataque, que se ha vinculado con gran certeza al Grupo Lazarus, dio lugar a la emisión y liberación fraudulentas de activos. Aunque KelpDAO logró bloquear otros 100 millones de dólares en transacciones falsificadas al pausar los contratos, las consecuencias han desencadenado un cambio masivo en el panorama DeFi. KelpDAO anunció posteriormente una migración inmediata a Chainlink CCIP.

La controversia central radica en la causa de la brecha. El análisis posterior de Layerzero calificó el incidente como un «problema de configuración de KelpDAO», centrándose específicamente en el uso por parte de Kelp de una configuración de red de verificadores descentralizados (DVN) 1-de-1, en la que Layerzero Labs era el único validador. Sin embargo, KelpDAO ha respondido citando un análisis de Dune que muestra que el 47 % de los contratos OApp de Layerzero —más de 1200 aplicaciones— utilizan el mismo «nivel mínimo de seguridad» de DVN 1-1.

Kelp señala que la propia guía de inicio rápido de OFT de Layerzero y sus plantillas predeterminadas recomiendan la configuración 1-1 con Layerzero Labs como único DVN requerido. El proyecto también compartió capturas de pantalla de conversaciones de Telegram que supuestamente muestran a miembros del equipo de Layerzero asegurando a Kelp que «los valores predeterminados estaban bien» durante ocho conversaciones de integración distintas a lo largo de dos años.

En una publicación en X para aclarar las cosas, Kelp desglosó lo que Layerzero admite y lo que convenientemente ignora en su análisis posterior al incidente. Según la publicación, Layerzero admitió que los atacantes obtuvieron acceso a la lista de RPC que utiliza su DVN y confirmó que dos nodos independientes se vieron comprometidos y que se intercambiaron los binarios. Además, Kelp cita la prohibición por parte de Layerzero de las configuraciones 1-1 tras la pérdida de 300 millones de dólares como otra forma de admisión. Sin embargo, según Kelp, el análisis posterior al incidente ignoró que la propia documentación de Layerzero empujaba a los desarrolladores hacia la configuración 1-1, que era vulnerable. Tampoco explica por qué los sistemas de monitorización de Layerzero no detectaron el hackeo, dejando que fuera Kelp quien señalara el problema.

«La simple verdad: LayerZero culpó a sus usuarios de un problema causado por un fallo de su propia infraestructura», afirmó KelpDAO en la publicación.

Para respaldar su conclusión, Kelp citó revisiones independientes que sacaron a la luz varias vulnerabilidades críticas supuestamente presentes en el momento del ataque. Entre ellas se incluyen hallazgos que indican que la implementación predeterminada exponía puertas de enlace públicas desprovistas de medidas de seguridad comunes, como WAF o listas de IP permitidas. Una revisión realizada por Chainalysis determinó que Layerzero estableció un quórum RPC predeterminado bajo de 1-1, lo que significa que, si un nodo era contaminado, el DVN firmaba el mensaje falsificado sin verificar con los demás.

Para demostrar su pérdida de confianza en Layerzero, Kelp afirmó que está migrando rsETH del estándar OFT de Layerzero al estándar Cross-Chain Token (CCT) de Chainlink. «Nuestra prioridad número uno sigue siendo la seguridad de los activos de nuestros usuarios», señaló KelpDAO, citando los siete años de trayectoria de Chainlink y su segura red de oráculos descentralizada.