El ecosistema de finanzas descentralizadas (DeFi) fue sacudido por un incidente de seguridad el pasado 18 de abril, cuando el protocolo Kelp DAO reportó una extracción fraudulenta de 292 millones de dólares en tokens rsETH. Este suceso ha desencadenado una controversia significativa respecto a la atribución de responsabilidades, poniendo de manifiesto las complejidades y vulnerabilidades inherentes a las operaciones entre cadenas, un pilar fundamental de la interoperabilidad en la web3.
La firma LayerZero Labs, proveedora de la infraestructura de mensajería entre cadenas implicada, emitió rápidamente un informe técnico. En su análisis, LayerZero atribuyó la causa directa del ataque a una ‘decisión de configuración’ por parte de Kelp DAO que, según sus directrices, contravenía las recomendaciones de seguridad. Este señalamiento inicial focalizó la culpa en el usuario final de la tecnología, un argumento que ha sido objeto de escrutinio en incidentes de seguridad anteriores en el ámbito cripto.
Sin embargo, Kelp DAO presentó una narrativa contrastante. En su propia revisión post-mortem, el equipo de Kelp DAO sostuvo que el origen del ataque radicó en una ‘falla de LayerZero’, específicamente en la infraestructura subyacente de su protocolo. Según Kelp DAO, dos nodos de Llamada a Procedimiento Remoto (RPC) fueron comprometidos simultáneamente, mientras un tercero sufría un ataque de denegación de servicio distribuido (DDoS), creando una ventana de oportunidad para la manipulación de mensajes fraudulentos.
La disputa se intensifica en torno a la configuración de la Red de Verificadores Descentralizados (DVN), donde Kelp DAO operaba con una configuración ‘1 de 1’. Kelp DAO argumenta que esta configuración está ‘documentada’ y se establece por ‘defecto’ en nuevos despliegues de LayerZero, y que se había validado previamente su idoneidad en comunicación con LayerZero. Este punto es crucial, pues implica que la configuración estándar de una infraestructura vital podría no ofrecer la robustez esperada ante vectores de ataque sofisticados.
Ante la detección de la anomalía, Kelp DAO asegura haber actuado con celeridad. El protocolo pausó de inmediato todos los contratos relevantes en la red principal de Ethereum y en soluciones de capa 2, además de incluir en la lista negra las direcciones del atacante y coordinar con el equipo de respuesta de seguridad SEAL-911. Estas acciones, según Kelp DAO, no solo contuvieron la fuga inicial sino que también lograron neutralizar un segundo intento de ataque que buscaba drenar 40,000 rsETH adicionales, valorados en aproximadamente 95 millones de dólares.
Este incidente no es un caso aislado. El mes de abril de 2024 se ha perfilado como uno de los períodos más desafiantes para la seguridad del ecosistema cripto, registrando al menos 13 brechas de seguridad que, en conjunto, superan los 450 millones de dólares en pérdidas, sin contar el caso de Kelp DAO. Esta escalada de ciberataques subraya la urgencia de reevaluar las arquitecturas de seguridad en plataformas de interoperabilidad y la necesidad de estándares más rigurosos para proteger los activos de los usuarios.
De cara al futuro, Kelp DAO ha declarado su compromiso prioritario con la protección de los usuarios y la prevención de efectos de contagio en el ecosistema DeFi. El equipo está colaborando activamente con socios clave, como Aave, y otras partes interesadas para analizar las repercusiones, coordinar medidas de mitigación y definir una hoja de ruta para una eventual reanudación segura de sus operaciones. La reconstrucción de la confianza y la implementación de soluciones efectivas requieren un consenso sobre la verdad de lo ocurrido y una mejora continua en los protocolos de seguridad.Si le ha parecido interesante este análisis, le invitamos a compartirlo y a dejar su opinión en los comentarios.
