LayerZero admite que “cometió un error” en el exploit de 292 millones de dólares de Kelp

La plataforma de interoperabilidad entre cadenas LayerZero ha dado un giro inesperado en su narrativa sobre el exploit que afectó al protocolo Kelp DAO por un valor de 292 millones de dólares. Después de semanas de señalar inicialmente el incidente como un fallo de configuración por parte de los desarrolladores, la compañía ha reconocido públicamente que “cometió un error” al permitir que su propio verificador asegurara transferencias de alto valor en un entorno vulnerable. La declaración, publicada en un comunicado oficial, representa un cambio significativo en la postura de la firma, que ahora asume la responsabilidad directa del diseño defectuoso.

El exploit, que tuvo lugar a principios de este mes, permitió a un atacante drenar fondos de los puentes entre cadenas operados por Kelp DAO, un protocolo de staking líquido basado en Ethereum. En ese momento, LayerZero argumentó que el problema residía en que los desarrolladores de Kelp no habían configurado correctamente los parámetros de seguridad de los mensajes entre cadenas. Sin embargo, una investigación interna más profunda reveló que la raíz del problema era más sistémica: LayerZero había autorizado que su propio verificador predeterminado validara transacciones de gran volumen sin los controles adicionales necesarios para evitar manipulaciones.

“Reconocemos que la decisión de usar nuestro verificador estándar para transferencias de este calibre fue un error de nuestra parte”, declaró un portavoz de LayerZero en el comunicado. “No se trató de un fallo de configuración externa, sino de una elección interna que no evaluó adecuadamente los riesgos asociados”. Esta admisión es crucial porque redefine la responsabilidad en el ecosistema DeFi, donde las plataformas de infraestructura suelen delegar la seguridad a los protocolos que las utilizan, pero en este caso la falla se originó en la capa base.

El incidente ha reavivado el debate sobre la centralización en los puentes entre cadenas y el papel de los verificadores. LayerZero opera con un modelo de “oráculo” y “verificador” donde los mensajes entre blockchains son validados por nodos externos. En el caso de Kelp, el verificador de LayerZero fue configurado para aprobar mensajes sin requerir firmas adicionales de múltiples partes, un diseño que los expertos en seguridad han calificado como “peligrosamente permisivo”. La compañía ahora promete implementar un sistema de verificación multi-firma obligatorio para todas las transacciones que superen un umbral de valor aún no especificado.

Para la comunidad de Kelp DAO, el daño ya está hecho. Aunque el protocolo logró recuperar una parte de los fondos mediante negociaciones con el atacante, el exploit expuso vulnerabilidades que podrían disuadir a futuros inversores. Analistas del sector señalan que este caso es un recordatorio de que incluso las plataformas más consolidadas como LayerZero no están exentas de errores de diseño. “La transparencia de LayerZero al admitir su culpa es loable, pero no compensa las pérdidas de los usuarios”, comentó un desarrollador anónimo en foros de DeFi.

LayerZero ha anunciado que revisará por completo su política de seguridad para verificadores, incluyendo auditorías externas y la implementación de un sistema de alertas en tiempo real para transferencias sospechosas. Además, se comprometió a compensar a los afectados con fondos de su propio tesoro, aunque los detalles del plan de reembolso aún no se han revelado. La compañía también instó a otros protocolos que utilizan su infraestructura a revisar sus configuraciones de seguridad para evitar incidentes similares.

Este caso marca un precedente en la industria, donde la responsabilidad por exploits suele recaer en los protocolos de aplicación, no en las capas de infraestructura. Al asumir el error, LayerZero no solo busca restaurar la confianza en su plataforma, sino que también establece un estándar de rendición de cuentas que podría influir en cómo otras empresas de interoperabilidad manejan futuros incidentes. Mientras tanto, el ecosistema DeFi observa con atención, sabiendo que la seguridad de los puentes entre cadenas sigue siendo el talón de Aquiles de la industria.