El debate sobre el nuevo caso de LayerZero se calienta en el canal de Telegram de ETH Security
La comunidad de seguridad de Ethereum ha visto cómo se desata una discusión acalorada en los últimos días. El foco de atención recae sobre LayerZero, uno de los protocolos de interoperabilidad más importantes del ecosistema. El conflicto surge tras revelaciones alarmantes sobre la arquitectura de seguridad de sus contratos OFT (Optimistic Forwarder Tokens).
Según los investigadores, más de 3.000 millones de dólares en activos de LayerZero dependían de un contrato de biblioteca por defecto. Este contrato, crucial para la funcionalidad del protocolo, permitía a LayerZero Labs realizar actualizaciones instantáneas sin ningún tipo de timelock. Esta característica, aunque eficiente, introduce un riesgo inmenso: teóricamente, permitiría la emisión de mensajes forjados o falsificados entre cadenas, una vulnerabilidad que ya fue explotada recientemente en el hackeo de KelpDAO.
¿Por qué persiste el riesgo a pesar de las advertencias?
El problema no es solo teórico. Investigadores como banteg, contribuyente de Yearn, han señalado que protocolos masivos como Ethena y EtherFi seguían utilizando esta configuración por defecto hace apenas unas semanas. A pesar de las claras advertencias sobre los riesgos de la centralización en la actualización de contratos, muchos equipos no migraron a configuraciones inmutables o gobernadas de forma independiente.
Actualmente, se estima que 178,5 millones de dólares en activos siguen expuestos a este riesgo. Esto representa una porción significativa del ecosistema DeFi que aún no ha adoptado las mejores prácticas de seguridad post-KelpDAO. La inercia de los desarrolladores frente a la seguridad parece ser el mayor obstáculo.
La controversia de los signers del multisig de LayerZero
Otro punto de fricción en el debate ha sido la gestión de las claves privadas de los signers del multisig de LayerZero. James Prestwich, un investigador de seguridad, ha cuestionado las prácticas de la empresa, señalando que las claves de los signers se utilizaban para operar memecoins y realizar transacciones personales. Esto sugiere que las claves estaban vinculadas a direcciones diarias de contribuyentes internos, lo cual es una mala práctica de seguridad extrema.
Bryan Pellegrino, de LayerZero Labs, respondió defendiendo a su equipo. Afirmó que tales signers habían sido eliminados del multisig y que cualquier actividad con memecoins estaba relacionada con pruebas oficiales del equipo. Sin embargo, esta defensa fue refutada por Prestwich y otros miembros de la comunidad, quienes insisten en que la separación de funciones es fundamental para evitar conflictos de interés y ataques internos.
El futuro de la interoperabilidad segura
Este incidente pone de manifiesto la tensión constante entre la eficiencia operativa y la seguridad en el mundo cripto. Los desarrolladores a menudo priorizan la velocidad de implementación sobre la seguridad, confiando en que la comunidad auditará sus proyectos. Sin embargo, cuando el fallo es sistémico y afecta a miles de millones de dólares, el costo de la negligencia puede ser devastador.
La migración de los proyectos a configuraciones inmutables es un paso necesario, pero lento. Mientras tanto, los usuarios deben estar conscientes de los riesgos inherentes a los protocolos que utilizan. La seguridad en la cadena no es solo responsabilidad del protocolo, sino de cada participante del ecosistema.
En conclusión, el caso de LayerZero sirve como un recordatorio de que la seguridad en la blockchain es un proceso continuo y no un estado final. La comunidad debe seguir presionando para que los protocolos adopten estándares más estrictos y transparentes.
Fuentes de autoridad:
Para más información sobre seguridad en DeFi y protocolos de interoperabilidad, consulta Bankless y también puedes leer sobre las mejores prácticas de seguridad en la wiki de seguridad de Ethereum.
