¿Recuerdas el robo de 292 millones de dólares en criptomonedas del año pasado que sacudió el mundo cripto? Hasta ahora, ambas partes siguen echándose la culpa mutuamente, la situación es bastante incómoda.

La historia es así. En abril del año pasado, Kelp DAO fue hackeado y le robaron 116,500 rsETH, estableciendo el mayor robo en DeFi ese año. Luego, las investigaciones descubrieron que el cerebro detrás probablemente era el grupo de hackers norcoreano Lazarus. Este grupo ha estado involucrado en varios grandes casos antes, y esta vez actuaron con bastante profesionalismo: primero infiltraron el nodo de verificación DVN de LayerZero, envenenaron dos de sus nodos RPC, luego lanzaron un ataque DDoS a otros nodos, y finalmente engañaron al sistema para firmar la transacción de robo de fondos.

LayerZero publicó posteriormente un informe de investigación, señalando directamente que Kelp DAO usó una configuración débil llamada "1-de-1 DVN", diciendo que esto era como una bomba de tiempo oculta en el sistema. También enfatizaron que habían recomendado varias veces a Kelp que dispersara la configuración de nodos, pero no les hicieron caso.

Tras ser acusados, Kelp DAO respondió con todo. Emitieron un comunicado en X diciendo que esa configuración de verificación de punto único era simplemente la opción predeterminada en la documentación oficial de LayerZero, y que no la habían configurado ellos de manera arbitraria. Además, dijeron que desde enero de 2024 estaban usando la infraestructura de LayerZero, y que la comunicación entre ambas partes siempre fue fluida. Cuando expandieron a Layer 2, también discutieron la configuración de DVN, y LayerZero confirmó en ese momento que esa configuración era adecuada.

Lo interesante es que ambas partes se echan la culpa mutuamente en esta historia. Kelp DAO finalizó diciendo que tomaron medidas de emergencia de inmediato, suspendieron los contratos relacionados y añadieron la billetera del hacker a la lista negra, controlando así la situación. Sobre las futuras mejoras de seguridad, el equipo de Kelp dijo que todavía están evaluando las opciones.

Desde cierto punto de vista, esto plantea una pregunta clásica: ¿es responsabilidad del proveedor de herramientas asegurar que los usuarios elijan la configuración correcta, o los usuarios deben ser responsables de sus decisiones de seguridad? La operación de Lazarus en sí misma no tiene mucho que decir, pero esta disputa de responsabilidades refleja algunos problemas profundos en el ecosistema DeFi.