Layerzero afirma que no se han producido contagios tras un ataque que le ha costado 290 millones de dólares, mientras las versiones contradictorias aumentan el escrutinio

• Layerzero calificó el exploit como un fallo de infraestructura, lo que ha debilitado la confianza en los modelos de seguridad de los puentes.
• Zach Rynes, de Chainlink, culpó a la centralización de los validadores, lo que ha agravado los riesgos de credibilidad en todo el DeFi.
• KelpDAO se enfrenta ahora a la presión de adoptar configuraciones con múltiples DVN, lo que apunta a normas más estrictas en el futuro.

Los riesgos de seguridad de los puentes DeFi ponen de manifiesto debilidades estructurales

Una grave brecha de seguridad entre cadenas está intensificando el escrutinio del diseño de los puentes en las finanzas descentralizadas (DeFi) después de que LayerZero Labs expusiera su versión del exploit de aproximadamente 290 millones de dólares en rsETH de KelpDAO. El 18 de abril, se publicó la declaración en la plataforma de redes sociales X, calificando el incidente como un ataque a nivel de infraestructura que puso de manifiesto los riesgos vinculados a las configuraciones de verificadores concentrados. En la declaración, Layerzero Labs afirmó:

«Los indicios preliminares apuntan a un actor estatal altamente sofisticado, probablemente el Grupo Lazarus de la RPDC, más concretamente TraderTraitor».

Según los detalles proporcionados, el ataque se dirigió a la infraestructura de llamadas a procedimientos remotos (RPC) utilizada por su Red de Verificadores Descentralizada. En lugar de explotar el protocolo en sí, los atacantes supuestamente contaminaron los sistemas RPC, manipularon los datos presentados al verificador y utilizaron una presión de denegación de servicio distribuida contra los puntos finales no comprometidos. Esta combinación permitió que se validaran transacciones fraudulentas al tiempo que se evitaba la detección por parte de los sistemas de monitorización.

Layerzero Labs atribuyó la principal vulnerabilidad a la configuración rsETH de KelpDAO, que se basaba en una estructura DVN uno a uno. Ese modelo no dejaba ningún verificador independiente capaz de rechazar un mensaje falsificado una vez que la infraestructura de soporte se viera comprometida. La declaración argumentaba que esta configuración iba en contra de las recomendaciones de larga data sobre la redundancia de múltiples DVN. También señalaba que una configuración debidamente diversificada habría requerido el consenso de múltiples verificadores, lo que habría hecho que el ataque fuera ineficaz incluso si se hubiera comprometido una vía.

Se intensifica el debate sobre la responsabilidad en toda la infraestructura criptográfica

Layerzero Labs también hizo hincapié en que el impacto se mantuvo contenido en el ecosistema general. «Hemos llevado a cabo una revisión exhaustiva de las integraciones activas en el protocolo Layerzero», declaró Layerzero Labs, subrayando:

«Podemos confirmar con total seguridad que no hay ningún contagio a ningún otro activo o aplicación».

«Este incidente se limitó por completo a la configuración rsETH de KelpDAO como consecuencia directa de su configuración de un único DVN», añadieron. Este enfoque respalda la opinión de que el protocolo funcionó según lo previsto, con una seguridad modular que limitó el daño a una única integración en lugar de crear una exposición sistémica más amplia.

La reacción de la comunidad estuvo muy dividida, y algunos cuestionaron directamente esa interpretación. Zach Rynes, enlace con la comunidad en Chainlink, opinó en X: «Como era de esperar, Layerzero está eludiendo la responsabilidad de que su propia infraestructura de nodos DVN se viera comprometida y provocara un exploit en el puente por valor de 290 millones de dólares». Argumentó que el problema se derivaba tanto del control de la infraestructura como de la concentración de validadores, lo que creaba un único punto de fallo. Rynes ya había señalado este riesgo de centralización años atrás y advirtió de que este tipo de configuraciones exponen a los usuarios a un riesgo sistémico desmesurado. «Afirmar que no hubo contagio es solo la guinda del pastel», concluyó. La disputa refleja una división más amplia sobre la responsabilidad cuando una sola entidad controla tanto la infraestructura como la validación.