KelpDAO está culpando a LayerZero por un exploit de 292 millones de dólares y planea relanzarse con un sistema de cadena cruzada rediseñado en Chainlink, según anunció el grupo en X el martes.

“Del incidente del 18 de abril, está claro que la propia infraestructura de LayerZero fue explotada, resultando en 300 millones de dólares en pérdidas en todo DeFi”, escribió Kelp DAO en X. “Informes independientes de SEAL 911, Chainalysis y otros importantes investigadores de seguridad líderes apuntan todos al mismo origen”."

En abril, un ataque drenó alrededor de 116.500 rsETH —un token de staking basado en Ethereum— de un puente de cadena cruzada utilizado por Kelp, un protocolo que permite a los usuarios hacer staking de Ethereum y mover tokens entre blockchains. El exploit ha sido vinculado al Grupo Lazarus de Corea del Norte.

En una publicación separada en X, Kelp dijo que el personal de LayerZero aprobó la configuración vinculada al exploit y no advirtió que representaba un riesgo de seguridad. La configuración, conocida como un verificador 1 de 1, se basa en una única entidad para validar transacciones entre cadenas.

Kelp dijo que el ataque se originó por una brecha en la infraestructura de LayerZero, donde los atacantes comprometieron los nodos RPC de la red de verificadores y obligaron al sistema a depender de datos manipulados, permitiendo que se aprobaran transacciones falsas.

“Después del exploit, LayerZero anunció que ya no firmaría ni atestiguaría mensajes para ninguna aplicación que utilizara una configuración DVN 1-1”, escribió Kelp. “Ese cambio de política, realizado después de que cientos de millones de dólares fueran explotados, confirma que esta era una configuración de LayerZero ampliamente utilizada que LayerZero Labs solo cambió después de que fallara”."

En un comunicado de abril, LayerZero disputó esa versión, diciendo que el exploit estaba aislado a la aplicación rsETH de Kelp y resultó de su uso de una configuración de verificador único que iba en contra del modelo multi-verificador recomendado por la compañía.

“Ese encuadre no coincide con los hechos”, escribió Kelp DAO. “Es de dominio público que esta configuración 1-1 no era única de Kelp”."

Según Kelp, siguió la documentación y las configuraciones predeterminadas de LayerZero. La compañía también dijo que la configuración era ampliamente utilizada en todo el ecosistema, señalando datos que mostraban que una gran parte de las aplicaciones dependían de configuraciones similares.

Kelp dijo que está moviendo su sistema rsETH al protocolo de interoperabilidad entre cadenas de Chainlink, donde las transacciones deben ser aprobadas por múltiples validadores independientes en lugar de un único verificador.

"Estamos comprometidos a trabajar con el equipo de KelpDAO para mejorar la seguridad entre cadenas de rsETH y apoyar su migración a Chainlink CCIP", dijo a Decrypt Johann Eid, Director de Negocios de Chainlink. "Hemos creído durante mucho tiempo que para que DeFi alcance su máximo potencial de llevar billones a la cadena, el ecosistema necesita estar sustentado por una infraestructura altamente segura."

El impacto del exploit de Kelp se ha extendido más allá de la disputa técnica. Cerca de 71 millones de dólares en cripto vinculados al exploit fueron congelados en la red Arbitrum, desencadenando una batalla legal en un tribunal federal de Nueva York.

“Hay preguntas a las que el ecosistema merece respuestas”, escribió Kelp DAO. “Y nos estamos asegurando de que rsETH esté protegido por una infraestructura que no deje estas preguntas abiertas”."

LayerZero no respondió de inmediato a una solicitud de comentarios de Decrypt.