2.9 bilhões de dólares roubados, quem assume a responsabilidade? Kelp DAO joga a culpa e provoca: LayerZero "configuração padrão" foi a culpada

Uma onda de hackers que movimentou até 292 milhões de dólares não apenas estabeleceu o maior roubo do setor DeFi neste ano, mas também provocou uma disputa de responsabilidades no mundo das criptomoedas. Diante de críticas severas, a plataforma de staking de liquidez Kelp DAO publicou uma declaração na segunda-feira, respondendo firmemente às acusações de negligência e apontando o provedor de tecnologia de cross-chain LayerZero como responsável pela brecha de segurança. Relembrando 18 de abril, quando a Kelp DAO, construída com a tecnologia de cross-chain da LayerZero, foi saqueada por hackers, perdendo até 116.500 tokens rsETH, avaliados em aproximadamente 292 milhões de dólares, registrando o maior incidente de hacking no setor DeFi neste ano. Em resposta ao ataque, a LayerZero divulgou na domingo um relatório preliminar de investigação, indicando que o possível autor por trás do ataque seria o notório grupo de hackers norte-coreano “Lazarus Group”. O relatório revelou que os hackers primeiro invadiram a lista de nós RPC (responsáveis por verificar a autenticidade das mensagens entre blockchains) usados pela rede de validação descentralizada (DVN) da LayerZero, e posteriormente envenenaram dois desses nós RPC, além de lançar ataques DDoS nos demais, forçando o sistema a trocar para os nós comprometidos, permitindo que a DVN recebesse mensagens falsas entre blockchains, culminando na assinatura de uma transação de roubo de tokens não autorizada oficialmente. No relatório, a LayerZero criticou a configuração de “DVN de 1 de 1” adotada pela Kelp DAO, considerada extremamente vulnerável. A LayerZero destacou que esse design carece de mecanismos de validação independentes, criando uma falha de ponto único que compromete toda a rede, impedindo a interceptação de mensagens falsas entre blockchains. A LayerZero afirmou: “Já havíamos sugerido várias vezes à Kelp DAO que a dispersão dos nós do DVN aumentaria a segurança, mas, apesar dessas recomendações, a Kelp insistiu em usar uma configuração de DVN de 1 de 1.” Diante das duras acusações de teimosia, a Kelp DAO respondeu na plataforma X, acusando que a configuração de “DVN de 1 de 1” que causou o incidente foi, na verdade, uma iniciativa da própria LayerZero. Em sua declaração, a Kelp DAO afirmou: A configuração de validação de ponto único, claramente documentada na documentação técnica oficial da LayerZero, é justamente a “opção padrão” ao criar tokens homogeneizados de cadeia completa (OFT, padrão que permite transferências sem costura entre múltiplas blockchains). Desde janeiro de 2024, a Kelp tem operado sobre a infraestrutura da LayerZero e mantém uma comunicação aberta com a equipe da LayerZero. A Kelp DAO também afirmou que, quando a plataforma planejou expandir para Layer 2, ambas as partes discutiram detalhadamente a configuração do DVN, e que a configuração padrão de um nó de validação único foi, na época, explicitamente confirmada como adequada pela LayerZero. “Um processo de reconstrução de eventos com consenso de ambas as partes é a base para adotarmos as medidas corretivas,” disse a Kelp DAO, de forma ambígua, sugerindo que a LayerZero não deveria tentar fugir da responsabilidade neste momento. Apesar da disputa acirrada sobre quem é o responsável pela vulnerabilidade de segurança, a Kelp DAO destacou que, assim que o incidente ocorreu, a equipe tomou medidas decisivas de crise, incluindo a suspensão emergencial dos contratos inteligentes envolvidos e a inclusão de todos os endereços de carteiras relacionados aos hackers em uma lista negra, controlando assim o impacto e evitando que as perdas se agravassem.