El protocolo de interoperabilidad LayerZero afirma que una configuración inadecuada vinculada a la red de verificadores descentralizados (DVN) de Kelp permitió a actores maliciosos robar 290 millones de dólares de Kelp DAO, añadiendo que los signos preliminares apuntan a actores de amenazas vinculados a Corea del Norte.
Un atacante drenó aproximadamente 116.500 Restaked ETH (rsETH), valorados en unos 292-293 millones de dólares en ese momento, del puente rsETH de Kelp DAO, impulsado por LayerZero, el sábado.
LayerZero dijo el lunes que el exploit se originó en un único punto de fallo en la configuración de Kelp, que dependía de un único DVN de LayerZero como la única ruta verificada, a pesar de que LayerZero les había advertido previamente contra esto.
“LayerZero y otras partes externas comunicaron previamente a KelpDAO las mejores prácticas sobre la diversificación de DVN. A pesar de estas recomendaciones, KelpDAO optó por utilizar una configuración DVN 1/1.”
En la práctica, eso significó que Kelp dependía de una única ruta de verificación para los mensajes entre cadenas en lugar de requerir múltiples comprobaciones independientes.
El exploit rápidamente desvió la atención de la causa técnica a la cuestión de quién debería absorber las pérdidas, mientras que las consecuencias se extendieron a Aave, donde el atacante utilizó rsETH como garantía para pedir prestada liquidez real.
El valor total bloqueado (TVL) de Aave ha caído en aproximadamente 8.900 millones de dólares a 17.500 millones de dólares en el momento de escribir este artículo, después de que el explotador utilizara los fondos robados para pedir prestado en Aave, dejando unos 195 millones de dólares en "deuda incobrable", lo que provocó retiros en el protocolo de préstamo.
LayerZero dijo que el puente rsETH de Kelp dependía únicamente del DVN de LayerZero Labs, y argumentó que el incidente reflejaba una configuración de aplicación insegura en lugar de un compromiso del propio LayerZero. La compañía dijo que ahora está instando a todas las aplicaciones que utilizan configuraciones DVN 1/1 a migrar a configuraciones multi-DVN y dejará de firmar o atestiguar mensajes para las aplicaciones que mantengan el diseño de un solo verificador.
Sin ningún plan de recuperación o compensación anunciado aún, usuarios y observadores del mercado pasaron el lunes debatiendo si las pérdidas deberían recaer en Kelp DAO, LayerZero, Aave o en los propios titulares de rsETH.
Yishi Wang, fundador y CEO de la billetera de hardware de código abierto OneKey, dijo que el mejor camino a seguir era negociar con el hacker, ofrecer una recompensa del 10% al 15%, y recuperar la mayor parte de los fondos.
“Si las negociaciones fracasan, el fondo del ecosistema de LayerZero debería asumir la mayor parte de la factura; tiene los bolsillos más profundos y el mayor interés a largo plazo en el juego”, escribió el fundador en una publicación de X el lunes, añadiendo que Kelp DAO está “en quiebra” y podría recuperarse con tokens e ingresos futuros, o considerar vender el proyecto.
El fundador seudónimo de la plataforma de análisis DeFiLlama, 0xngmi, delineó tres soluciones, incluyendo la opción de "socializar" las pérdidas entre todos los usuarios, "rugpulleyar a los titulares de rsETH en las L2", o intentar devolver los saldos de los titulares a una instantánea anterior al hackeo, lo que sería "muy difícil de hacer", escribió en una publicación de X el lunes.
Cointelegraph se puso en contacto con Aave para obtener comentarios, pero no había recibido una respuesta al momento de la publicación.
Relacionado: Atacante de Hyperbridge acuña 1B de tokens Polkadot puenteados en un exploit de 237K dólares
Las preocupaciones de los inversores sobre el exploit de Kelp han reducido significativamente la liquidez de Ether (ETH) en Aave, el activo de garantía principal del protocolo de préstamo.
Esta baja liquidez presenta un "riesgo crítico de seguridad donde las liquidaciones de ETH como garantía no pueden llevarse a cabo mientras los mercados están al 100% de utilización", dijo MoneySupply, el jefe de estrategia seudónimo del protocolo de préstamo competidor de Aave, Spark, en una publicación de X el sábado.
"Con las actuales condiciones de iliquidez en Aave, una caída del precio de ETHUSD del 15-20% podría causar una acumulación significativa de deuda incobrable (además de cualquier posible problema atribuible al exploit directo de rsETH)", dijo.
Aave dijo que inmediatamente congeló todo el rsETH en Aave v3 y V4, evitando mayores daños. Los contratos inteligentes de Aave no fueron explotados.
Revista: Conoce a los detectives cripto on-chain que luchan contra el crimen mejor que la policía
