Kelp DAO responsabilizó públicamente a LayerZero por haber validado la configuración de
El incidente, atribuido al grupo norcoreano Lazarus, drenó 116 500 rsETH el pasado 19 de abril. En su informe post-mortem, LayerZero sostuvo que Kelp había elegido usar únicamente al propio LayerZero Labs como verificador, ignorando el modelo recomendado de múltiples redes descentralizadas de validación (DVN).
Kelp contradice esa versión. Asegura que en ocho reuniones de integración el equipo de LayerZero nunca advirtió que la opción 1-de-1 representara un riesgo relevante. Para respaldar su dicho, la organización difundió capturas de Telegram donde, presuntamente, empleados del proveedor de mensajería entre cadenas conocían la configuración y no objetaron su uso.
Uno de los mensajes citados muestra a un integrante de LayerZero afirmando que no había problema en emplear los valores predeterminados, al tiempo que ofrecía la posibilidad de adoptar un esquema DVN personalizado. Kelp interpreta que esos “valores predeterminados” eran precisamente la sola firma de LayerZero Labs que luego fue señalada como punto débil.
La autenticidad de las capturas no pudo verificarse de forma independiente, pero el documento desplaza el foco del error de usuario a la calidad de la guía técnica y de los estándares predeterminados ofrecidos por la plataforma. Kelp argumenta que las plantillas públicas de LayerZero reforzaban el uso de esa configuración sin advertencias claras sobre su fragilidad.
Ante la disputa, Kelp anunció que migrará el token rsETH desde el estándar OFT de LayerZero hacia CCIP, la infraestructura de mensajería de Chainlink. El movimiento implica desconectar la totalidad del suministro circulante del puente comprometido y reconstruirlo sobre un nuevo stack técnico.
El caso expone un vacío de responsabilidad recurrente en el ecosistema Web3: cuando una aplicación integra herramientas de interoperabilidad usando parámetros técnicamente válidos pero prácticamente inseguros, ¿corresponde al proveedor de infraestructura o al desarrollador final? Mientras la comunidad debatía, el mercado castigó ambos nombres: rsETH perdió su paridad y LayerZero enfrenta cuestionamientos sobre sus procesos de auditoría.
Etiquetas: Kelp, LayerZero, rsETH, Chainlink, Lazarus, hackeo, puente, DVN
About the Author
