KelpDAO está migrando su puente cross-chain rsETH de LayerZero al Protocolo de Interoperabilidad Cross-Chain (CCIP) de Chainlink después de que un exploit de 292 millones de dólares agotara sus reservas. El movimiento abandona el estándar OFT de LayerZero en favor del modelo de validación más descentralizado de Chainlink.
"La migración de KelpDAO a Chainlink CCIP aborda directamente la vulnerabilidad arquitectónica en el centro del exploit", dijo el protocolo en su anuncio, destacando un cambio fundamental en su postura de seguridad tras uno de los mayores fallos de seguridad de DeFi de este año.
El exploit del 18 de abril vio a un atacante, preliminarmente vinculado al Grupo Lazarus de Corea del Norte, drenar unos 116,500 rsETH comprometiendo la configuración de seguridad del puente. Según Chainalysis, el ataque comprometió la infraestructura off-chain, permitiendo al hacker engañar al verificador para que liberara fondos contra transacciones inexistentes. La disputa se centra en la configuración de la Red de Verificadores Descentralizados (DVN) de 1 de 1, que creó un punto único de falla.
El incidente subraya los riesgos sistémicos en la arquitectura de los puentes cross-chain, que siguen siendo un objetivo principal para los hackers en el espacio de los activos digitales. La migración pública de KelpDAO a un competidor ejerce una presión intensa sobre LayerZero y sirve como un estudio de caso crítico para los protocolos que evalúan las compensaciones de infraestructura entre seguridad y simplicidad.
¿Qué salió mal?
El núcleo de la vulnerabilidad fue el uso por parte de KelpDAO de una configuración de DVN única, donde solo se requería a LayerZero Labs para verificar las transacciones. El postmortem de LayerZero declaró que esta configuración "contradice directamente" su modelo multi-DVN recomendado. Sin embargo, KelpDAO rechazó esto, publicando un memorando titulado "Aclarando las cosas", que alega que el personal de LayerZero conocía y aprobó la configuración.
KelpDAO presentó capturas de pantalla de conversaciones y señaló la propia documentación para desarrolladores de LayerZero y ejemplos de GitHub, que supuestamente mostraban una configuración de DVN única como predeterminada. Los datos de Dune Analytics citados por CoinGecko respaldaron esto, mostrando que el 47% de las aplicaciones activas de LayerZero, que representan más de 4,500 millones de dólares en valor, utilizaban una configuración similar de 1 de 1 en ese momento.
Desde entonces, LayerZero ha prohibido las configuraciones de verificador único, afirmando que el protocolo en sí "funcionó exactamente como se esperaba" y que Kelp había "degradado manualmente a un 1/1". El proveedor de infraestructura también señaló que un investigador de seguridad, Sujith Somraaj, había enviado previamente un informe de recompensa por errores sobre el mismo vector de ataque, que LayerZero había rechazado como una configuración incorrecta a nivel de aplicación y, por lo tanto, fuera de alcance.
El cambio a Chainlink
En respuesta, KelpDAO no solo está cambiando su proveedor de infraestructura, sino que también está adoptando el estándar Cross-Chain Token de Chainlink para rsETH. El marco CCIP de Chainlink reemplaza el modelo de verificador único con una red descentralizada de al menos 16 operadores de nodos independientes, mitigando significativamente el riesgo de un punto único de falla.
Las consecuencias del exploit se extendieron por todo el ecosistema DeFi en Ethereum, ya que el atacante depositó el rsETH robado como colateral en mercados de préstamos como Aave, pidiendo prestado aproximadamente 236 millones de dólares en otros activos. Esto obligó a Aave a congelar varios mercados para evitar un mayor estrés de liquidez. Tras el incidente, una iniciativa "DeFi United", con contribuciones de LayerZero, ha recaudado más de 300 millones de dólares para ayudar a restaurar el respaldo de rsETH.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
