Kelp DAO le responde a LayerZero y no se guarda nada tras el mega hackeo ¿Quién tiene la culpa?

¿Te acuerdas del meme de Spiderman señalándose entre ellos? Pues hoy ese meme anda en modo cripto y está épico.

Resulta que Kelp DAO está poniéndose las pilas para responderle a LayerZero después de que este último culpara a Kelp por un hackazo de $290 millones de dólares el domingo pasado. Según LayerZero, Kelp se hizo oídos sordos a varias advertencias para no usar un sistema de un solo verificador, pero un vocero cercano a Kelp dijo a CoinDesk que no van a dejar que se les pise así nomás.

Kelp es un protocolo de “liquid restaking” – en cristiano, agarra el ether que pones, lo mete en un sistema que genera ganancias llamado EigenLayer y a cambio te da un token especial llamado rsETH.

LayerZero es la chamba que hace que esos rsETH puedan moverse entre diferentes blockchains, usando algo que llaman DVNs (redes de verificadores descentralizadas) para checar que cada transferencia sea legit.

Pues fíjate que el sábado, unos hackers se aventaron un golpe y sacaron 116,500 rsETH, o sea casi 290 millones de dólares, porque lograron envenenar los servidores que LayerZero usa para verificar las transacciones entre blockchains.

Pero aquí lo bueno es que, según Kelp, los servidores hackeados eran nada menos que de LayerZero, no de ningún verificador externo. Los hackers tumbaron dos servidores de LayerZero que revisan las transferencias, luego saturaron de tráfico basura los servidores de respaldo para que LayerZero tuviera que usar justamente los comprometidos. Todo esto fue con pura infraestructura de LayerZero.

LayerZero dijo que el problema fue que Kelp eligió un sistema “1 de 1” para validar mensajes: solo necesitaban que un solo verificador diera el visto bueno, sin segundas revisiones. Eso abre la puerta para que un mensaje falso se cuele. Pero Kelp responde que ese “1/1” es el sistema estándar, la configuración por default que LayerZero pone en sus guías y tutoriales, y que casi el 40% de los protocolos usan igual.

Para rematar, Kelp dice que su contrato principal de restaking no fue tocado y que activaron una pausa de emergencia a los 46 minutos después del robo, frenando otros ataques que podrían haber vaciado otros 200 millones más.

¿Y qué dicen los cracks del ciber? Pues que tampoco creen que LayerZero trate de echarle la culpa solo a Kelp. Según algunos expertos como Artem K (alias @banteg) y el community manager Zach Rynes, LayerZero anda andando el quite para no cargar con la bronca de su propia infraestructura y están poniendo a Kelp en la línea de fuego aun cuando siguieron las reglas que LayerZero mismo dio.

Tan así, que ahora LayerZero ya anunció que nunca más firmará mensajes para apps que usen esa configuración de un solo verificador, y están empujando a todos los protocolos a cambiar su sistema.

El lunes, Kelp DAO salió a confirmar que usan desde enero su infraestructura y que el sistema “1/1” es, de hecho, la configuración oficial y documentada de LayerZero. Ellos andan en comunicación directa desde hace meses, y durante su expansión a Layer 2, LayerZero les dijo que la configuración era la adecuada. “Saber bien qué pasó es la base para arreglarlo juntos,” dijo el equipo en sus redes.

Por su parte, Bryan Pellegrino, cofundador de LayerZero, dice que ya van por todos lados para mejorar la seguridad y que la neta ya tienen buena parte de la investigación resuelta. Pronto van a soltar más detalles.

Así está la cosa en este rollo cripto bien dramático, que nos recuerda que en el mundo blockchain la cosa puede ponerse bien intensa cuando algo sale mal. ¿Quién tendrá la última palabra? Solo el tiempo y las pruebas lo dirán.