LayerZero admite fallo de $292M en robo Kelp épico

Pues resulta que LayerZero soltó el viernes pasado una disculpa bien merecida, porque se mandaron una macana al dejar que su propia infraestructura de verificación asegurara criptos bien caras con una configuración bien vulnerable. Antes se andaban echando la culpa con los de Kelp DAO por un hackazo de $292 millones, que hasta dijeron que venía de Corea del Norte, pero ya cambiaron de rol y aceptaron que el error fue suyo.

Desde hace semanas estaban como en pelea de barrio, cada quien señalando al otro por esa robonera que hubo en abril. Al principio, LayerZero dijo que la bronca era culpa de Kelp porque eligieron una configuración súper arriesgada donde solo un verificador descentralizado (DVN) tenía que dar el visto bueno para pasar monedas entre cadenas. Eso fue como dejar la puerta abierta de un solo candado, medio loco.

En su blog, LayerZero dijo, “La regamos al dejar que nuestro DVN fuera 1/1 para transacciones altas. No pusimos atención en qué estaba cuidando nuestro DVN y creamos un riesgo que ni nos dimos cuenta. Nos hacemos responsables.”

Para arreglar el desmadre, dijeron que ya no van a permitir configuraciones 1/1 y que van a mover todo a 5/5 cuando se pueda, o mínimo 3/3 si solo hay tres DVNs en la cadena. Así ya nadie podrá chuecar el camino tan fácil.

Las “cross-chain bridges” o puentes entre blockchains siempre han sido de lo más frágil en el mundo cripto, y LayerZero dice que su protocolo base no se tocó, y que al final los devs tienen que configurar su seguridad o les puede ir como en feria.

Según ellos, el fallo fue porque atacaron la infraestructura interna de RPC que usan para sus verificadores, mientras que otros proveedores externos de RPC recibían ataques de denegación de servicio para echar más bronca.

Además, confesaron que hace tres años un tipo de su equipo usó la wallet de hardware multisig para hacer una operación personal con su propia wallet, lo cual está súper mal. Ya sacaron a ese tipo, cambiaron las wallets, mejoraron la seguridad, pusieron software para detectar cosas raras en cada dispositivo y crearon un multisig personalizado llamado OneSig para que no vuelva a pasar.

Por su parte, los competidores como Chainlink ya están aprovechando para llevarse a los que se están bronqueando con LayerZero. Kelp ya se mudó a la red de Chainlink con su puente rsETH, y hasta Solv Protocol dijo esta semana que va a pasar más de $700 millones en bitcoin tokenizado a Chainlink después de checar otra vez la seguridad.

Así que ya saben, neta que en el mundo cripto la cosa no es juego, y aquí la neta va con los que queden de pie con la seguridad bien puesta.