LayerZero dice que ‘cometió un error’ en el exploit de Kelp de 292 millones de dólares
Después de inicialmente presentar el exploit como una falla de configuración por parte del desarrollador, LayerZero afirmó que “asume” la decisión de permitir que su propio verificador asegure transferencias de alto valor en una configuración vulnerable.

- LayerZero reconoció que “cometió un error” al permitir que su propia red de validadores asegurara activos de alto valor en una configuración riesgosa, revirtiendo semanas de culpar a Kelp DAO por un hackeo de 292 millones de dólares vinculado a atacantes norcoreanos.
- La empresa afirmó que su protocolo no fue comprometido y atribuyó la explotación a un ataque contra la infraestructura interna de RPC utilizada por su red descentralizada de verificadores, al mismo tiempo que insistió en que los desarrolladores siguen siendo responsables de sus propias configuraciones de seguridad.
- Las consecuencias están llevando a clientes importantes hacia rivales, con Kelp trasladando su puente rsETH a Chainlink y Solv Protocol moviendo más de $700 millones en infraestructura de bitcoin tokenizado fuera de LayerZero.
LayerZero dijo el viernes por la noche, hora de EE.UU. que “cometió un error” al permitir que su propia infraestructura de verificación asegurara activos criptográficos de alto valor en una configuración vulnerable, marcando un cambio notable en el tono tras semanas de culpar al desarrollador Kelp DAO enfrenta un hackeo de 292 millones de dólares vinculado a atacantes norcoreanos.
La admisión marca un cambio notable después de semanas de culpándose públicamente LayerZero y Kelp sobre la responsabilidad del hackeo de abril, que LayerZero había enmarcado inicialmente como una falla de configuración a nivel de aplicación por parte de Kelp.
“Lo primero es lo primero: una disculpa pendiente,” escribió LayerZero en un blog publicado el viernes.
LayerZero inicialmente culpó a Kelp, argumentando que el protocolo había elegido una configuración riesgosa de “1-de-1” en la que solo una única red descentralizada de verificadores, o DVN, necesitaba aprobar las transferencias entre cadenas, creando un único punto de falla. Un DVN es parte de la infraestructura que verifica si una transacción que mueve activos entre cadenas de bloques es legítima.
“Cometimos un error al permitir que nuestro DVN actuara como un DVN 1/1 para transacciones de alto valor,” declaró la empresa. “No supervisamos lo que nuestro DVN estaba asegurando, lo que generó un riesgo que simplemente no percibimos. Nos responsabilizamos de ello.”
Para contrarrestar esto, LayerZero Labs declaró que su DVN ya no dará servicio a configuraciones DVN 1/1. Además, "todas las configuraciones predeterminadas en todos los caminos están siendo migradas a 5/5 donde sea posible y no menos de 3/3 en cualquier cadena donde solo estén disponibles 3 DVNs", indicó el blog.
Los puentes cross-chain funcionan como vías digitales de transferencia entre redes blockchain que de otro modo serían independientes, pero han sido durante mucho tiempo una de las infraestructuras más vulnerables del mundo cripto.
LayerZero sostuvo que su protocolo subyacente no fue comprometido y reiteró que los desarrolladores son, en última instancia, responsables de configurar sus propias suposiciones de seguridad.
“El protocolo LayerZero permaneció sin afectaciones,” afirmó la empresa, atribuyendo la explotación a un ataque en la infraestructura interna de RPC utilizada por el DVN de LayerZero Labs, mientras que los proveedores externos de RPC fueron atacados simultáneamente con ataques distribuidos de denegación de servicio.
Además, Layer Zero declaró que hace tres años y medio, uno de sus firmantes en nuestra multisig utilizó su billetera de hardware multisig para realizar una operación personal, con la intención de usar su propia billetera de hardware personal. Está tomando medidas contra tales acciones y afirmó: "Esto obviamente no está bien."
"Este firmante fue removido del multisig, las billeteras fueron rotadas, y desde entonces hemos actualizado nuestras prácticas de seguridad en torno a los dispositivos de firma, añadido software de detección de anomalías localizada en cada dispositivo, y creado un multisig personalizado llamado OneSig."
Los competidores, incluido Chainlink, están aprovechando las repercusiones para ganar negocios de los protocolos que están reconsiderando sus proveedores de seguridad.
Kelp ha ya se ha movido su puente rsETH al Protocolo de Interoperabilidad Cross-Chain competidor de Chainlink, mientras Solv Protocol dijo esta semana está migrando más de $700 millones en infraestructura de bitcoin tokenizado desde LayerZero tras una nueva revisión de seguridad.
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.
CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.
Por qué es importante:
CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.





