LayerZero enfrenta fuertes críticas por su manejo de la reciente explotación de 290 millones de dólares en KelpDAO. El protocolo de interoperabilidad omnichain ha culpado a la configuración de verificador 1-de-1 de KelpDAO por el incidente.
Durante el fin de semana, el protocolo de re-staking líquido KelpDAO fue atacado, resultando en la pérdida de más de 290 millones de dólares en rsETH. Los atacantes explotaron una vulnerabilidad en el puente del protocolo impulsado por LayerZero. Dos días después, LayerZero se pronunció sobre el incidente, que se ha convertido en el mayor hackeo DeFi de 2026, poco después de la explotación de 285 millones de dólares del Drift Protocol.
LayerZero atribuyó el "ataque altamente sofisticado" al Grupo Lazarus de Corea del Norte. Lo caracterizaron como un ataque a la infraestructura cripto en lugar de una explotación de protocolo y declararon que "no hay contagio alguno para otros activos o aplicaciones cross-chain". El protocolo explicó que su sistema se construye sobre una base de seguridad modular que utiliza Redes de Verificadores Descentralizados (DVN), entidades independientes que verifican mensajes cross-chain.
Según LayerZero, los atacantes comprometieron la mayoría de los RPCs (Llamadas a Procedimiento Remoto) de los que dependía su propia DVN para verificar transacciones. Presuntamente intercambiaron binarios para falsificar mensajes y usaron ataques DDoS para forzar al sistema a utilizar estos nodos comprometidos, engañando a la DVN para que confirmara transacciones falsas.
Con base en este análisis, LayerZero concluyó que la responsabilidad recaía en KelpDAO por optar por una configuración de DVN única en lugar de una configuración multi-DVN recomendada. Declararon: "Este incidente estuvo completamente aislado en la configuración de rsETH de KelpDAO como consecuencia directa de su configuración de DVN única".
La Comunidad Cripto Critica la 'Falta de Responsabilidad'
La comunidad cripto ha reaccionado con fuerza a este análisis post-mortem, criticando a LayerZero por lo que muchos perciben como desviar la responsabilidad hacia las decisiones de seguridad de KelpDAO.
Un usuario de X, Saint, comentó: "Imagina construir un puente por el que los vehículos pagan por cruzar, el puente se derrumba y dices que es su culpa por cruzar el puente. Un acto de payasada clásico de un montón de payasos con cero responsabilidad".
Otros cuestionaron la lógica de ofrecer una configuración "1-de-1" si es inherentemente insegura. El usuario Ditto argumentó: "Si el sistema permite esta opción, no es culpa del cliente que la eligió; es un defecto de diseño fundamental del sistema que lo permitió". Añadió: "Al final del día, el hecho sigue siendo que el RPC de la DVN fue comprometido. DVN es un producto de LayerZero, y son ellos quienes lo vendieron a estos equipos".
El gestor de comunidad de Chainlink, Zach Rynes, acusó a LayerZero de desviar la culpa por el compromiso de su propio nodo DVN y "echar a KelpDAO bajo el autobús" por confiar en una configuración que el propio LayerZero apoyaba y solo bloqueó después del hackeo.
El desarrollador de Yearn Finance, Artem K, señaló en X que el ataque fue descrito como un compromiso de un nodo RPC, que es infraestructura propia de LayerZero. "Dado que no dice cómo ocurrió la brecha, no me apresuraría a reactivar los puentes", añadió.
¿Diagnóstico Equivocado, Solución Equivocada?
El analista The Smart Ape ha sugerido que LayerZero hizo un diagnóstico incorrecto y está ofreciendo la solución equivocada. En su análisis post-mortem, LayerZero recomendó que todas las aplicaciones que usen una configuración DVN 1-de-1 migren a configuraciones multi-DVN para prevenir futuros ataques.
Sin embargo, el analista argumenta que las configuraciones multi-verificador podrían no detener el próximo gran ataque. Señalan que múltiples DVNs aún podrían fallar porque a menudo leen los estados de la cadena desde el mismo pequeño grupo de proveedores RPC, que están mayormente concentrados en grandes plataformas en la nube como AWS o Google Cloud. Si cinco verificadores "independientes" dependen todos de la misma infraestructura comprometida, el beneficio de seguridad se anula. Si las cinco redes de verificadores descentralizados (DVN) dependen de los mismos tres proveedores RPC, un atacante que comprometa esos tres RPC puede engañar simultáneamente a los cinco verificadores. Como explicó un analista: "Si todos tus verificadores son engañados de la misma manera al mismo tiempo, el sistema efectivamente vuelve a un modelo 1-de-1. Cinco copias idénticas no son lo mismo que cinco testigos independientes".
Para abordar esta vulnerabilidad, el analista recomienda que cada verificador opere su propio nodo completo usando software de cliente diferente, alojado en proveedores de nube separados, gestionado por equipos de operaciones distintos y conectado a diferentes segmentos de la red Ethereum. "La solución no consiste en añadir más de los mismos componentes. La verdadera solución es que los verificadores validen su propia infraestructura subyacente, no solo el estado de la cadena. Hasta que puedas auditar la configuración ascendente de una DVN—qué proveedores RPC, software de cliente, servicios en la nube y regiones utiliza—las afirmaciones de 'seguridad M-de-N' son solo marketing para una característica que realmente no se ha implementado", señaló. "El 18 de abril, el Grupo Lazarus no rompió la criptografía; comprometieron tres servidores".
Preguntas Frecuentes
Preguntas Frecuentes: La Comunidad Cripto Critica el Enfoque de Seguridad de LayerZero
Preguntas de Nivel Principiante
P1 ¿Qué es LayerZero?
R1 LayerZero es una tecnología que permite a diferentes blockchains comunicarse y compartir datos entre sí. A menudo se le llama protocolo de interoperabilidad.
P2 ¿Qué pasó con el hackeo de 290M mencionado?
R2 En 2022, un importante puente cross-chain llamado Wormhole fue hackeado por aproximadamente 320 millones en cripto. Las críticas recientes hacen referencia a este evento como un ejemplo de precaución.
P3 ¿Qué son los verificadores en este contexto?
R3 Los verificadores son entidades o software independientes que verifican y confirman que una transacción que se mueve de una blockchain a otra es válida y correcta. Actúan como guardianes de la seguridad.
P4 ¿Por qué la comunidad cripto critica a LayerZero?
R4 La comunidad está preocupada de que el plan de LayerZero para mejorar la seguridad simplemente añadiendo más verificadores podría no ser suficiente para prevenir un hackeo masivo como el incidente de Wormhole. Los críticos argumentan que el diseño fundamental necesita ser más seguro.
P5 ¿Qué es un puente cross-chain y por qué es arriesgado?
R5 Un puente cross-chain es una herramienta que te permite mover criptomonedas o datos de una blockchain a otra. A menudo son objetivos para hackers porque contienen muchos fondos bloqueados en un solo lugar, convirtiéndolos en atractivos señuelos.
Preguntas Intermedias/Avanzadas
P6 ¿Cuál es el argumento central contra simplemente añadir más verificadores?
R6 El argumento es que la cantidad no vence automáticamente a la calidad o al diseño. Si múltiples verificadores dependen del mismo software defectuoso o supuestos de seguridad, todos pueden ser comprometidos juntos. Es un problema de punto único de falla.
P7 ¿Existen modelos de seguridad alternativos a tener más verificadores?
R7 Sí. Las alternativas incluyen:
Pruebas de Fraude: Donde cualquiera puede desafiar y probar que una transacción es inválida.
Clientes Ligeros: Usar los propios mecanismos de seguridad de la blockchain para verificar transacciones.
Seguridad Económica/Confiscación: Requerir que los verificadores apuesten grandes cantidades de su propio cripto, que pierden si actúan maliciosamente.