Durante el fin de semana, KelpDAO fue explotado por $290M en rsETH. KelpDAO utiliza LayerZero como su puente entre cadenas, y el equipo de LZ publicó un post-mortem que culpó exclusivamente a KelpDAO por el incidente. Aquí está cómo ocurrió el ataque. Básicamente, el atacante comprometió un subconjunto de RPCs utilizados por un único DVN (Red Descentralizada de Verificadores) integrado por KelpDAO, realizó un ataque DDoS a los endpoints honestos y luego utilizó los comprometidos para falsificar un mensaje entre cadenas. Sí, KelpDAO no debería haber utilizado un único DVN para proteger su instancia de puente. Eso fue imprudente. Pero ¿sabes quién administra ese único DVN — el donde se comprometieron los RPCs? LayerZero Labs: los desarrolladores del puente. Claramente, KelpDAO no es el único responsable aquí. Mis preguntas: 1) ¿Cómo obtuvieron acceso los atacantes a la infraestructura RPC de LayerZero Labs? 2) ¿Por qué se permiten DVNs únicos? 3) ¿Cómo deberíamos pensar en los estándares mínimos para la seguridad entre cadenas hoy en día: número de DVNs, diversidad de proveedores de infraestructura o algún benchmark explícito de “no punto único de fallo”? Momento difícil para DeFi en este momento. Aquí está el post-mortem brutal: https://t.co/P647A4QdpQ