¿Quién asume la responsabilidad por el robo de 2.9 mil millones de dólares? Kelp DAO se lava las manos y responde: LayerZero "la configuración predeterminada" fue la culpable

Un ataque de hackers que alcanzó los 292 millones de dólares no solo estableció el récord de mayor robo en el ámbito DeFi de este año, sino que también desató una disputa en la comunidad cripto sobre quién es responsable. Frente a las críticas feroces, Kelp DAO, un protocolo de liquidez y staking, publicó una declaración el lunes, contraatacando duramente las acusaciones de negligencia y lanzando la culpa a LayerZero, proveedor de tecnología de cadenas cruzadas. Recordando el 18 de abril, Kelp DAO, construido sobre la tecnología de cadenas cruzadas de LayerZero, fue saqueado por hackers, perdiendo hasta 116,500 tokens rsETH, con un valor aproximado de 292 millones de dólares, marcando el incidente de mayor escala en DeFi en lo que va del año. En respuesta a este ataque, LayerZero publicó el domingo un informe preliminar de investigación, señalando que el culpable más probable es el infame grupo de hackers norcoreano “Lazarus Group”. El informe reveló que los hackers primero ingresaron a la lista de nodos RPC utilizados por la red de verificación descentralizada (DVN, responsable de verificar la autenticidad de los mensajes entre cadenas), y luego envenenaron dos de estos nodos RPC, además de lanzar un ataque DDoS contra los demás, forzando al sistema a cambiar a los nodos comprometidos, permitiendo que la DVN recibiera mensajes falsos entre cadenas y firmara una transacción de robo no autorizada. En el informe, LayerZero criticó que Kelp DAO utilizó una configuración de “DVN de un solo nodo” extremadamente vulnerable. LayerZero enfatizó que este diseño carece de mecanismos de verificación independientes, sembrando un riesgo de fallo único que impide a la red interceptar mensajes falsificados entre cadenas. LayerZero afirmó: “Ya habíamos sugerido varias veces a Kelp DAO que dispersara la configuración de los nodos de la DVN para mejorar la seguridad, pero a pesar de estas recomendaciones, Kelp insistió en usar una configuración de DVN de 1 de 1.” Frente a estas duras acusaciones de “no escuchar consejos”, Kelp DAO respondió en la plataforma X, señalando que la configuración de “DVN de un solo nodo” que causó el problema fue en realidad promovida por LayerZero. En su declaración, Kelp DAO afirmó: La configuración de verificación de un solo punto, claramente especificada en la documentación técnica oficial de LayerZero, es en realidad la “opción predeterminada” cuando se crea un token homogeneizado de cadena completa (OFT, estándar que permite transferencias sin fricciones entre múltiples cadenas). Desde enero de 2024, Kelp ha estado operando sobre la infraestructura de LayerZero y ha mantenido una comunicación abierta con el equipo de LayerZero. Kelp DAO añadió que, cuando la plataforma planeaba expandirse a Layer 2, ambas partes discutieron en profundidad la configuración de la DVN, y en ese momento, la configuración predeterminada de un solo nodo fue “claramente confirmada como apropiada” por LayerZero. “Un proceso de reconstrucción de eventos con consenso mutuo y precisión es la base para que tomemos las medidas correctivas adecuadas”, dijo Kelp DAO en un tono ambiguo, sugiriendo que LayerZero no debería culpar en este momento. Aunque todavía hay una disputa sobre la responsabilidad por la vulnerabilidad de seguridad, Kelp DAO enfatizó que, en el primer momento del incidente, el equipo tomó medidas decisivas, incluyendo la suspensión de los contratos inteligentes afectados y la inclusión en listas negras de todas las direcciones de las wallets relacionadas con los hackers, logrando controlar la situación y evitar que las pérdidas se expandieran.