Cargando precios…
🩸BEARISH

Kelp DAO exploit: LayerZero asume culpa por el verificador DVN único

El exploit de Kelp DAO de 292 millones de dólares destapó una configuración con un único verificador que LayerZero ahora reconoce que jamás debió lanzar, y un incidente con un monedero multifirma de hace 3,5 años que el protocolo mantuvo en silencio hasta el viernes.

LayerZero publicó el viernes una entrada de blog disculpándose por la mala comunicación mantenida durante las tres semanas transcurridas desde el exploit de Kelp DAO, que costó 292 millones de dólares, y reconoció que no debería haber permitido que su DVN actuara como verificador único en transacciones de alto valor.

Por qué importa

El protocolo atribuyó el ataque al grupo Lazarus de Corea del Norte, al que acusa de comprometer nodos RPC internos y lanzar ataques DDoS contra los externos para falsificar un mensaje cross-chain. LayerZero también reveló un incidente no comunicado hasta ahora, ocurrido hace aproximadamente tres años y medio, en el que un firmante del monedero multifirma utilizó su monedero físico de producción para ejecutar una operación personal — una confesión tardía que resulta incómoda junto al análisis posterior de una pérdida de nueve cifras.

Impacto en el mercado

LayerZero anunció una serie de cambios de seguridad, entre ellos el fin del soporte para la configuración DVN 1/1. La lección estructural para la infraestructura cross-chain es clara: un único verificador es un único punto de compromiso, y atribuir el ataque a un actor estatal reconocido no endurece retroactivamente el puente.

Tokens relacionados
$ZRO

Preguntas frecuentes

  1. ¿Qué ocurrió en el exploit de Kelp DAO?

    LayerZero afirma que el grupo Lazarus de Corea del Norte comprometió nodos RPC internos y lanzó ataques DDoS contra los externos para falsificar un mensaje cross-chain, drenando 292 millones de dólares. El protocolo se ha disculpado desde entonces por su comunicación durante las tres semanas posteriores al ataque.

  2. ¿Qué es la configuración DVN 1/1 que LayerZero va a eliminar?

    Una configuración DVN 1/1 emplea un único verificador — el propio de LayerZero — para confirmar los mensajes cross-chain. LayerZero reconoció que jamás debió permitirse para transacciones de alto valor y anunció que elimina el soporte de esta configuración.

  3. ¿Qué incidente no revelado destapó LayerZero?

    LayerZero reveló un incidente no comunicado hasta ahora, de hace aproximadamente 3,5 años, en el que un firmante del monedero multifirma usó su monedero físico de producción para ejecutar una operación personal. El protocolo no explicó por qué saca a la luz este incidente ahora.

  4. ¿Quién es el grupo Lazarus y por qué importa la atribución de LayerZero?

    Lazarus es un grupo de hackeo vinculado al Estado norcoreano, asociado desde hace tiempo a grandes robos de criptomonedas. Atribuir el exploit de Kelp DAO a Lazarus lo encuadra como un incidente de un actor estatal en lugar de un exploit oportunista, pero señalar al atacante a posteriori no endurece el puente.

  5. ¿Qué cambios de seguridad está aplicando LayerZero?

    LayerZero anunció un paquete de cambios de seguridad, entre ellos el fin del soporte para la configuración DVN 1/1. El protocolo no detalló el conjunto completo de cambios en la publicación.

Atribución de fuente
Agregado de TheBlock · Verificado · Última actualización hace 58d
Abrir original →