LayerZero emitió una disculpa pública el jueves por su manejo del exploit del 18 de abril que drenó aproximadamente $292 millones del puente rsETH de Kelp DAO. El protocolo de mensajería entre cadenas admitió que nunca debió permitir que su propio validador actuara como único verificador para transacciones de alto valor.
Por qué ocurrió el exploit
El ataque tuvo como objetivo el puente rsETH, un sistema que mueve tokens entre blockchains. El validador de LayerZero era la única entidad que verificaba la validez de las transacciones. Ese punto único de fallo permitió que el atacante desviara casi $300 millones antes de que alguien pudiera detenerlo.
La admisión de LayerZero
En una publicación de blog, la empresa admitió el error sin rodeos. “No deberíamos haber permitido que nuestro propio validador fuera el único verificador en un puente de tan alto valor”, escribió el equipo. La disculpa llegó semanas después del incidente, lo que sugiere que la revisión interna tomó tiempo. LayerZero no nombró al validador específico ni explicó por qué existía esa configuración.
Kelp DAO no ha comentado públicamente sobre la disculpa. Los fondos robados siguen sin recuperarse. La publicación de LayerZero no ofreció un cronograma para los cambios en su sistema de verificación, dejando a los usuarios preguntándose si configuraciones similares aún existen en otros puentes que impulsa.
La disculpa de la empresa no detalló qué medidas concretas tomaría para evitar una repetición. Por ahora, el agujero de $292 millones en la liquidez de rsETH es un crudo recordatorio de lo que sucede cuando la confianza reemplaza a la redundancia en la infraestructura blockchain.
