2,9 mil milhões de dólares roubados, quem assume a responsabilidade? Kelp DAO culpa e responde: LayerZero "configuração padrão" foi a causa

Uma onda de hackers que atingiu até 292 milhões de dólares não só estabeleceu o maior roubo no setor DeFi este ano, mas também provocou uma controvérsia na comunidade cripto sobre quem deve assumir a responsabilidade. Frente às críticas severas, a plataforma de staking de liquidez Kelp DAO publicou uma declaração na segunda-feira, respondendo firmemente às acusações de negligência e apontando o provedor de tecnologia de cross-chain LayerZero como o principal responsável pela brecha de segurança. Relembrando 18 de abril, quando a Kelp DAO, construída com a tecnologia de cross-chain LayerZero, foi saqueada por hackers, resultando na perda de até 116.500 tokens rsETH, avaliada em aproximadamente 292 milhões de dólares, marcando o maior incidente de hacking no setor DeFi este ano. Em resposta ao ataque, a LayerZero divulgou na domingo um relatório preliminar de investigação, sugerindo que o responsável por trás do ataque é provavelmente o notório grupo de hackers norte-coreano “Lazarus Group”. O relatório revelou que os hackers inicialmente invadiram a lista de nós RPC (responsáveis por verificar a autenticidade das mensagens entre cadeias) usados pela rede de validação descentralizada (DVN) da LayerZero, depois envenenaram dois desses nós RPC e lançaram ataques DDoS nos demais, forçando o sistema a trocar para os nós comprometidos, permitindo que a DVN recebesse mensagens falsas entre cadeias, culminando na assinatura de uma transação de roubo de tokens não autorizada oficialmente. No relatório, a LayerZero criticou a configuração de segurança da Kelp DAO, que utilizava uma estrutura extremamente vulnerável de “DVN de 1 de 1 (um único nó de validação)”. A LayerZero destacou que esse design carece de mecanismos de validação independentes, criando uma vulnerabilidade de ponto único de falha que impede a rede de interceptar mensagens falsas entre cadeias. A LayerZero afirmou: “Já havíamos aconselhado várias vezes a Kelp DAO, junto a especialistas externos, a diversificar a configuração dos nós do DVN para aumentar a segurança, mas, apesar dessas recomendações, a Kelp insistiu em usar uma configuração de DVN de 1 de 1.” Diante das duras acusações de desconsiderar os conselhos, a Kelp DAO respondeu na plataforma X, acusando que a configuração de “DVN de 1 de 1” que causou o incidente foi, na verdade, uma iniciativa direta da LayerZero. Em sua declaração, a Kelp DAO afirmou: A configuração de validação de ponto único, claramente documentada nos materiais técnicos oficiais da LayerZero, é justamente a ‘opção padrão’ ao criar tokens homogeneizados de cadeia completa (OFT, padrão que permite transferências sem costura entre múltiplas cadeias). Desde janeiro de 2024, a Kelp tem operado sobre a infraestrutura da LayerZero e mantém uma comunicação aberta com a equipe da LayerZero. A Kelp DAO também afirmou que, quando planejaram expandir para Layer 2, tiveram discussões aprofundadas sobre a configuração do DVN, e que, na época, a configuração de nó único foi oficialmente confirmada como adequada pela LayerZero. “Um processo de reconstrução de eventos com consenso de ambas as partes, preciso e transparente, é a base para adotarmos as medidas corretivas conjuntamente”, disse a DAO, de forma ambígua, sugerindo que a LayerZero não deveria tentar fugir da responsabilidade neste momento. Apesar do debate acalorado sobre quem deve assumir a culpa pelo vazamento de segurança, a Kelp DAO destacou que, logo após o incidente, tomou medidas decisivas de gerenciamento de crise, incluindo a suspensão emergencial dos contratos inteligentes envolvidos e a inclusão de todos os endereços de carteiras relacionados aos hackers na lista negra, controlando assim o impacto e evitando que as perdas se agravassem ainda mais.