Kelp DAO revela secretos oscuros de LayerZero tras hackeo

El protocolo Kelp DAO dio el paro con un informe bien chido sobre lo que pasó el 18 de abril, cuando se sacaron de su sistema nada más y nada menos que 292 millones de dólares en el token rsETH, por un pinche hackeo hecho con un mensaje falso entre cadenas.

El team de LayerZero Labs soltó un informe técnico el 20 de abril, donde dijo que la bronca surgió por una mala decisión en la configuración de Kelp DAO, que no siguió las recomendaciones que ellos habían dado, como reportó CriptoNoticias.

Pero, ojo, los de Kelp DAO aclararon que, según su revisión, el punto donde se hizo el ataque fue en la infraestructura de LayerZero. Al parecer, dos nodos RPC fueron chuecos (comprometidos) y un tercero estaba siendo atacado con un DDoS (un ataque que hace que un servicio se caiga). “Los sistemas de Kelp no tuvieron nada que ver en cómo se hizo ni cómo operó esa infraestructura”, lo dijeron bien claro en su comunicado.

Con esa combinación, los malos pudieron mandar mensajes falsos de red en red y sacar la lana. El equipo dejó en claro que no trabajan en esa infraestructura, aunque la usan para moverse entre distintas cadenas de criptos.

Kelp DAO actuó rápido y con todo

En un comunicado, el team de Kelp DAO dijo que apenas cacharon la movida, frenaron todos los contratos importantes en la red principal de Ethereum y en las capas 2. También pusieron en la lista negra a las direcciones del atacante y se pusieron a chambear con el equipo de seguridad SEAL-911 para darle seguimiento.

> Gracias a esto, lograron parar el desmadre y tumbar un segundo intento de robarse otros 40,000 rsETH, que valen como 95 millones de dólares, ¡todo eso por un rollo falso que querían meter!

“Echando la culpa pa’ otro lado”

Un punto muy importante en la investigación es la configuración DVN, que es como un verificador descentralizado. Kelp DAO comentó que ellos usaban el modo “1 de 1”, que está bien documentado y viene por default cuando se instala algo nuevo en LayerZero.

Desde enero de 2024 están trabajando con esa configuración y siempre se han comunicado con el equipo de LayerZero. Cuando ampliaron a capas 2, les dijeron que la configuración por defecto estaba chida y era la correcta, según Kelp DAO.

De aquí en adelante, Kelp DAO dijo que lo que más les importa es cuidar a los usuarios y que la bronca no se haga bola en todo el mundo DeFi. Ya están chambeando con aliados como Aave y otros para checar qué onda con el impacto, armar estrategias para que no vuelva a pasar y planear cómo regresar seguros a la movida.

También dijeron que es clave contar bien lo que pasó para encontrar soluciones que sí sirvan y hacer el sistema más seguro para todos.

Este ataque a Kelp DAO no fue el único cotorreo raro. En las primeras dos semanas de abril se reportaron al menos 13 ataques más en el mundo cripto. En total, entre todos esos rollos, ya se perdieron más de 450 millones de dólares en 2026, sin contar lo de Kelp DAO. ¡Abril se volvió un mes bien cabrón en esto de la seguridad!