Cargando precios...
Registrarse
DestacadasProyectos y CriptomonedasRegulación y LegislaciónSeguridad y Privacidad

Exploit de $290 millones en Kelp DAO: LayerZero atribuye el hackeo a configuración insegura

Arturo Trenard Arturo Trenard · · 5 min de lectura
Únete a nuestro Canal de Telegram

Exploit de $290 millones en Kelp DAO: LayerZero atribuye el hackeo a configuración insegura

Un atacante drenó aproximadamente $293 millones en tokens rsETH del puente cross-chain de Kelp DAO, en uno de los exploits más significativos del año. LayerZero, el protocolo de interoperabilidad subyacente, atribuyó el hackeo a una configuración insegura por parte de Kelp, que dependía de un único validador. Las consecuencias se extendieron rápidamente a Aave, donde los fondos robados se usaron como colateral, generando cerca de $195 millones en deuda incobrable y desatando un debate sobre la responsabilidad de las pérdidas.

La causa técnica: un único punto de falla

El exploit, ocurrido el pasado sábado, resultó en el robo de aproximadamente 116,500 rsETH, un token de liquidez staking de Ethereum. En un comunicado, LayerZero realizó una atribución preliminar, señalando que el ataque fue llevado a cabo por actores de amenaza vinculados a Corea del Norte.

La explicación de LayerZero

LayerZero identificó la causa raíz en una configuración de seguridad deficiente por parte de Kelp DAO. Según el protocolo, Kelp dependía de una configuración «1/1 DVN» (Red de Verificadores Descentralizados), lo que significa que utilizaba un único verificador, operado por LayerZero Labs, para autenticar mensajes entre cadenas. Esta configuración creó un punto único de fallo.

«LayerZero y otras partes externas comunicaron previamente las mejores prácticas sobre diversificación de DVN a KelpDAO. A pesar de estas recomendaciones, KelpDAO optó por utilizar una configuración 1/1 DVN», afirmó la empresa.

LayerZero enfatizó que el incidente fue el resultado de «una configuración de aplicación insegura», y no de un fallo de su protocolo base.

Medidas post-exploit

Como respuesta, LayerZero instó a todas las aplicaciones que utilicen una configuración de verificador único (1/1) a migrar a configuraciones multi-DVN. Además, anunció que dejará de firmar mensajes para cualquier aplicación que mantenga ese diseño, forzando efectivamente una actualización de seguridad en su ecosistema.

El efecto dominó en Aave y los riesgos sistémicos

Contagio al protocolo de préstamos

Las repercusiones traspasaron rápidamente los límites de Kelp DAO. El atacante utilizó los tokens rsETH robados como colateral para tomar préstamos en Aave. Esta acción generó aproximadamente $195 millones en deuda incobrable para el protocolo, ya que el colateral sustraído carecía de valor.

El impacto en el valor total bloqueado (TVL) de Aave fue inmediato y severo, cayendo desde aproximadamente $8.9 mil millones a $17.5 mil millones, según los datos disponibles al momento del incidente.

Advertencias sobre riesgo de liquidez

La situación desató una grave preocupación entre los inversores, quienes redujeron drásticamente la liquidez de ETH disponible en los mercados de Aave. MoneySupply, estratega del Spark Protocol, advirtió que esta iliquidez crea un «riesgo de seguridad crítico», ya que podría impedir la ejecución de liquidaciones de colateral en caso de una caída del mercado.

Respuesta de Aave

Frente a la crisis, Aave tomó medidas de contención. El protocolo confirmó haber congelado todos los mercados de rsETH en sus versiones v3 y V4 para prevenir daños mayores. Aave aclaró que sus contratos inteligentes centrales no fueron explotados directamente; la vulnerabilidad residió en el puente de Kelp DAO.

El debate sobre la responsabilidad y las soluciones

A falta de un plan oficial de recuperación, se ha abierto un intenso debate en la comunidad sobre quién debe absorber las pérdidas multimillonarias. Las opciones oscilan entre Kelp DAO, LayerZero, el propio Aave o los holders del token rsETH.

Propuestas desde la comunidad

Distintas figuras de la industria han planteado soluciones. Yishi Wang, fundador de la cartera de hardware OneKey, propuso intentar negociar con el hacker una recompensa del 10-15% por la devolución de los fondos.

Por su parte, 0xngmi, fundador de DeFiLlama, esbozó tres posibles caminos complejos: socializar las pérdidas entre todos los usuarios, perjudicar específicamente a los holders de rsETH, o intentar revertir el estado de la cadena a un snapshot previo al hackeo.

Contexto y repercusiones en el ecosistema DeFi

La importancia de la configuración de seguridad

El incidente subraya la importancia crítica de las configuraciones de seguridad en la infraestructura cross-chain. Los DVNs son componentes esenciales que verifican la validez de las transacciones entre blockchains. Este caso sirve como un ejemplo contundente de las consecuencias de ignorar las mejores prácticas de descentralización en sistemas que manejan valor significativo.

Un recordatorio de los riesgos interconectados

Más allá de la causa técnica, el exploit de Kelp DAO actúa como un recordatorio severo de los riesgos interconectados en DeFi. Demuestra cómo una vulnerabilidad en un protocolo aparentemente aislado, como un puente, puede propagarse con velocidad y generar un contagio financiero en otros protocolos interrelacionados, como los mercados de préstamos, a través de activos compartidos y lógicas de colateral complejas.

Click to rate this post!
[Total: 0 Average: 0]
Compartir: Facebook Instagram X WhatsApp Telegram LinkedIn Copiar enlace

Noticias Relacionadas