Puntos clave:
Una vulnerabilidad crítica en la infraestructura del puente cross-chain de KelpDAO, impulsada por LayerZero, provocó un exploit de 292 millones de dólares el 18 de abril, creando tokens rsETH sin respaldo y desencadenando una crisis de liquidez en el protocolo de préstamos Aave.
La respuesta coordinada indica que el ecosistema se está "moviendo más allá de los protocolos aislados hacia un sistema financiero más coordinado", pero la atención debe seguir centrada en la rendición de cuentas, dijo Matthew Pinnock, director de operaciones de Altura DeFi, a Decrypt.
Los atacantes, que se cree que son el Grupo Lazarus de Corea del Norte, comprometieron la red de verificador único de LayerZero al envenenar los nodos RPC internos para informar una quema fantasma de activos, según un informe de Chainalysis. Esto permitió la acuñación no autorizada de 116.500 rsETH en Ethereum.
El incidente ha borrado más de 15.000 millones de dólares en TVL de los protocolos afectados y ha desencadenado un esfuerzo de recuperación coordinado masivo por parte de los principales actores de DeFi, al tiempo que plantea serias dudas sobre la seguridad y la centralización de la arquitectura de los puentes cross-chain.
En respuesta al déficit, una coalición de protocolos denominada "DeFi United" se está movilizando para absorber la deuda incobrable. El esfuerzo incluye una promesa personal de 5.000 ETH del fundador de Aave, Stani Kulechov, y una propuesta de Mantle para una línea de crédito de 30.000 ETH para Aave DAO. Lido Finance, Golem Foundation y Ether.fi también han comprometido millones en apoyo. El Consejo de Seguridad de Arbitrum, trabajando con las fuerzas del orden, congeló con éxito 30.766 ETH, con un valor aproximado de 71,5 millones de dólares, vinculados a las direcciones derivadas del explotador.
Las consecuencias del incidente se han visto agravadas por las preguntas sobre la postura de seguridad de LayerZero. El CTO de Ripple, David Schwartz, destacó una declaración de diciembre de 2024 del CEO de LayerZero, Bryan Pellegrino, quien afirmó que el "0%" del volumen del protocolo dependía únicamente de una única Red de Verificadores Descentralizados (DVN). "¿Cambió algo entre diciembre de 2024 y ahora?", cuestionó Schwartz, insinuando que el ataque pudo no haber ocurrido como se describió o que las afirmaciones de seguridad anteriores eran inexactas. LayerZero sostiene que el exploit se limitó a la configuración específica de DVN único de KelpDAO.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
