Cargando precios…
🩸BEARISH

LayerZero asume culpa por el exploit de 292M en Kelp DAO

Tras semanas de echar la culpa a Kelp DAO, LayerZero asumió la responsabilidad de una configuración de verificador 1-de-1 que se convirtió en un único punto de fallo — y la competencia ya está captando a los clientes que se van.

LayerZero asume culpa por el exploit de 292M en Kelp DAO
LayerZero asume culpa por el exploit de 292M en Kelp DAO
LayerZero asume culpa por el exploit de 292M en Kelp DAO
LayerZero asume culpa por el exploit de 292M en Kelp DAO

LayerZero dijo el viernes por la noche, hora de EE. UU., que "cometió un error" al permitir que su propia infraestructura de verificadores asegurase activos cripto de alto valor en una configuración vulnerable, dando marcha atrás a semanas de señalamientos públicos contra Kelp DAO por un exploit de 292 millones de dólares atribuido a atacantes norcoreanos. La compañía dijo que "asume" la decisión de dejar que una única red de verificadores descentralizada — una configuración DVN 1-de-1 — aprobase transferencias cross-chain, creando un único punto de fallo que aprovecharon los atacantes. "No supervisamos lo que aseguraba nuestro DVN, lo que generó un riesgo que sencillamente no vimos", escribió el equipo en un blog publicado el viernes.

Por qué importa

Los puentes cross-chain llevan tiempo siendo una de las piezas de infraestructura más atacadas en el sector cripto, y la admisión es inusual en un sector donde la culpa suele rebotar entre los equipos de los protocolos y los desarrolladores de aplicaciones hasta que entran los departamentos jurídicos. LayerZero está elevando ahora todo el suelo de configuración por defecto: su DVN ya no dará servicio a ninguna configuración 1-de-1, y todos los valores por defecto de las rutas se están migrando a 5/5 cuando es posible — y nunca por debajo de 3/3 en cualquier cadena donde solo haya tres DVN disponibles. La propia capa de protocolo, insiste LayerZero, no se vio comprometida; el punto de entrada fue la infraestructura RPC interna utilizada por el DVN de LayerZero Labs, mientras que los proveedores externos de RPC sufrían al mismo tiempo ataques distribuidos de denegación de servicio.

Impacto en el mercado

El daño comercial ya se está notando en la migración de clientes. Kelp ha trasladado su puente rsETH al Cross-Chain Interoperability Protocol de Chainlink, y Solv Protocol anunció esta semana que está moviendo más de 700 millones de dólares en infraestructura de bitcoin tokenizado fuera de LayerZero tras una nueva revisión de seguridad. Además de las consecuencias del exploit, LayerZero reveló que hace tres años y medio un firmante del multisig usó la cartera de hardware del equipo para una operación personal; el firmante ha sido expulsado, las carteras se han rotado y se ha creado un multisig personalizado llamado OneSig para evitar que vuelva a ocurrir. Con el verificador de LayerZero en el lado equivocado de una pérdida de 292 millones de dólares vinculada a un grupo patrocinado por un Estado, el mercado de custodia de puentes queda abiertamente a disposición de quien quiera aprovecharlo.

Tokens relacionados
$BTC

Preguntas frecuentes

  1. ¿Qué reconoció LayerZero en el exploit de Kelp de 292M$?

    LayerZero dijo que "cometió un error" al permitir que su propia red de verificadores descentralizada asegurase transferencias de alto valor en una configuración 1-de-1, lo que creó un único punto de fallo explotado por atacantes vinculados a Corea del Norte.

  2. ¿Se vio comprometido el protocolo de LayerZero en sí?

    LayerZero señaló que el protocolo no se vio comprometido. Atribuyó el exploit a un ataque contra la infraestructura RPC interna utilizada por el DVN de LayerZero Labs, mientras que los proveedores externos de RPC sufrían ataques DDoS simultáneos.

  3. ¿Cómo está cambiando LayerZero su configuración por defecto tras el exploit?

    El DVN de LayerZero ya no dará servicio a ninguna configuración DVN 1-de-1, y todos los valores por defecto de las rutas se están migrando a 5/5 cuando sea posible — y nunca por debajo de 3/3 en cadenas donde solo haya tres DVN disponibles.

  4. ¿Qué clientes se han marchado de LayerZero desde el exploit?

    Kelp DAO trasladó su puente rsETH al Cross-Chain Interoperability Protocol de Chainlink, y Solv Protocol está migrando más de 700 millones de dólares en infraestructura de bitcoin tokenizado fuera de LayerZero tras una nueva revisión de seguridad.

  5. ¿Qué otro problema de seguridad reveló LayerZero junto al exploit?

    LayerZero reveló que hace tres años y medio un firmante del multisig usó la cartera de hardware del equipo para una operación personal. El firmante ha sido expulsado, las carteras se han rotado y se ha creado un multisig personalizado llamado OneSig para evitar que vuelva a ocurrir.

Atribución de fuente
Agregado de CoinDesk · Verificado · Última actualización hace 58d
Abrir original →