LayerZero responde al incidente de vulnerabilidad de 290 millones de dólares de KelpDAO, atribuyéndolo a una configuración de un solo DVN

BroadChain de Bochain se enteró de que a las 20:00 del 20 de abril, según Bitcoinist, el incidente de vulnerabilidad de 290 millones de dólares sufrido por rsETH de KelpDAO entró en una nueva etapa. LayerZero y Aave explicaron públicamente el curso del evento, las razones por las que los daños son controlables y su impacto en los futuros estándares de seguridad entre cadenas. El argumento central de LayerZero es que este incidente no se debió a una falla en su protocolo en sí, sino a la decisión de KelpDAO de operar rsETH con una configuración de DVN (Red de Validación Descentralizada) única. Esta declaración cambió la narrativa del mercado del riesgo de contagio generalizado de los activos integrados en LayerZero hacia un problema más específico: la concentración de riesgos en el diseño de seguridad de aplicaciones individuales. En la declaración del 20 de abril, LayerZero afirmó que el ataque del 18 de abril estaba dirigido a la configuración de rsETH de KelpDAO y "se limitó completamente a la configuración de rsETH de KelpDAO, siendo una consecuencia directa de su configuración de DVN única". La empresa añadió que había realizado una revisión exhaustiva de las integraciones activas y "confía en confirmar que no existe riesgo de contagio para ningún otro activo o aplicación". LayerZero calificó este incidente como un ataque a la infraestructura criptográfica relacionado con un estado, no como una vulnerabilidad del protocolo, y los indicios iniciales apuntan a un actor estatal altamente sofisticado, probablemente Lazarus Group de Corea del Norte (específicamente TraderTraitor). El ataque no comprometió directamente el protocolo, la gestión de claves o las instancias de DVN, sino que los atacantes contaminaron la infraestructura RPC descendente utilizada por LayerZero Labs DVN, reemplazaron los archivos binarios en los nodos op-geth comprometidos y luego ejercieron presión DDoS sobre los RPC no afectados, forzando la conmutación por error hacia la infraestructura contaminada. LayerZero enfatizó que, debido a su principio de privilegios mínimos, los atacantes no pudieron comprometer las instancias reales de DVN, pero aprovecharon este punto de entrada para ejecutar un ataque de suplantación de RPC. Sus nodos maliciosos utilizaron cargas útiles personalizadas especialmente diseñadas para falsificar mensajes hacia el DVN, mientras devolvían respuestas reales a otras IP, incluyendo su propia infraestructura de monitoreo, para evadir la detección. LayerZero señaló que si rsETH no hubiera dependido de una configuración de validador 1-de-1, este ataque debería haberse bloqueado a nivel de aplicación. La configuración OApp de KelpDAO dependía en ese momento de una configuración de DVN única, con LayerZero Labs como único validador, lo que contradice directamente el modelo de redundancia de múltiples DVN que LayerZero siempre ha recomendado a todos sus socios de integración. La empresa declaró que su DVN ya está nuevamente en línea, los nodos RPC afectados han sido descontinuados y reemplazados, y ya no firmarán ni probarán mensajes para aplicaciones que utilicen configuraciones 1/1, mientras colabora con las autoridades y socios de la industria (incluyendo Seal911) para rastrear los fondos. Aave, en una actualización en la plataforma X, declaró que su análisis muestra que "rsETH en la red principal de Ethereum está completamente respaldado", pero por precaución, rsETH sigue congelado en Aave V3 y V4, y la exposición a este incidente ha sido limitada. Las reservas de WETH también permanecen congeladas en los mercados afectados de Ethereum, Arbitrum, Base, Mantle y Linea, y el equipo continúa verificando información y evaluando posibles soluciones. Al momento de redactar este informe, la capitalización total del mercado de criptomonedas es de aproximadamente 2.5 billones de dólares.