Básico
Spot
Opera con criptomonedas libremente
Margen
Multiplica tus beneficios con el apalancamiento
Convertir e Inversión automática
0 Fees
Opera cualquier volumen sin tarifas ni deslizamiento
ETF
Obtén exposición a posiciones apalancadas de forma sencilla
Trading premercado
Opera nuevos tokens antes de su listado
Contrato
Accede a cientos de contratos perpetuos
TradFi
Oro
Plataforma global de activos tradicionales
Opciones
Hot
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Trading de prueba
Introducción al trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Únete a eventos para ganar recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Lanzamiento
CandyDrop
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Pre-IPOs
Accede al acceso completo a las OPV de acciones globales
Puntos Alpha
Opera activos on-chain y recibe airdrops
Puntos de futuros
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Simple Earn
Genera intereses con los tokens inactivos
Inversión automática
Invierte automáticamente de forma regular
Inversión dual
Aprovecha la volatilidad del mercado
Staking flexible
Gana recompensas con el staking flexible
Préstamo de criptomonedas
0 Fees
Usa tu cripto como garantía y pide otra en préstamo
Centro de préstamos
Centro de préstamos integral
Centro de patrimonio VIP
Planes de aumento patrimonial prémium
Gestión patrimonial privada
Asignación de activos prémium
Quant Fund
Estrategias cuantitativas de alto nivel
Staking
Haz staking de criptomonedas para ganar en productos PoS
Apalancamiento inteligente
Apalancamiento sin liquidación
Acuñación de GUSD
Acuña GUSD y gana rentabilidad de RWA
Promociones
Centro de actividades
Únete a actividades y gana recompensas
Referido
20 USDT
Invita amigos y gana por tus referidos
Programa de afiliados
Gana recompensas de comisión exclusivas
Gate Booster
Aumenta tu influencia y gana airdrops
Anuncio
Novedades de plataforma en tiempo real
Gate Blog
Artículos del sector de las criptomonedas
AI
Gate AI
Tu compañero de IA conversacional para todo
Gate AI Bot
Usa Gate AI directamente en tu aplicación social
GateClaw
Gate Blue Lobster, listo para usar
Gate for AI Agent
Infraestructura de IA, Gate MCP, Skills y CLI
Gate Skills Hub
+10 000 habilidades
De la oficina al trading, una biblioteca de habilidades todo en uno para sacar el máximo partido a la IA
GateRouter
Elige inteligentemente entre más de 40 modelos de IA, con 0% de costos adicionales
¿Quién debería pagar por la «configuración predeterminada»? Medio mes después del robo de rsETH, el CEO de LayerZero «asume la responsabilidad de manera proactiva»
Escribir: Yangz, Techub News
En el mundo Web3 que nunca duerme, el 18 de abril parecía ser un día común y corriente. Sin embargo, para el sector de la recolocación de liquidez y para todo el ecosistema DeFi, una “revolución” que podría ser recordada en los libros de historia ocurrió silenciosamente en la cadena. En menos de una hora, un hacker (presuntamente del Grupo Lazarus) utilizó el puente entre cadenas de Kelp DAO para crear de la nada 116,500 rsETH, valorados en aproximadamente 292 millones de dólares. Considerando que el rsETH se usa ampliamente como colateral, el hacker no vendió rápidamente estos “certificados de aire” sin valor, sino que los transfirió a protocolos de préstamo principales como Aave, obteniendo alrededor de 236 millones de dólares en ETH, empujando directamente a Aave y otros protocolos líderes a un estado de incobrabilidad.
Esto no es la primera vez que un puente entre cadenas sufre un ataque, pero esta vez abrió una vieja herida en la industria Web3: cuando la infraestructura básica (capa de protocolo) y la capa superior (aplicaciones) dejan un vacío en su conexión, ¿quién debe pagar por los miles de millones en activos desaparecidos?
En los más de medio mes que siguió, esta crisis se convirtió en un enfrentamiento abierto sobre tecnología, responsabilidad y poder. Desde el inicio de las acusaciones mutuas, hasta la reciente declaración proactiva del CEO de LayerZero, Bryan Pellegrino, esto marca un punto de inflexión en el debate sobre los límites de responsabilidad.
El mortal “1/1 DVN”
Para entender este debate, primero hay que desglosar la técnica de ataque del hacker. Curiosamente, este ataque no se basó en una vulnerabilidad compleja en los contratos inteligentes, sino en un parámetro de configuración: el DVN 1-de-1.
Este llamado DVN, o red de validadores descentralizados, es un componente responsable de verificar los mensajes entre cadenas en la arquitectura LayerZero V2. La configuración 1-de-1 significa que: con solo la firma de un validador, el mensaje entre cadenas se considera legal y se ejecuta. Peor aún, el control de esta “llave” no está completamente en manos de Kelp, sino que depende del nodo RPC subyacente. El hacker, mediante envenenamiento del nodo RPC y un ataque DDoS, secuestró ese único nodo validador, enviándole registros falsos de “quema en la cadena fuente”. El validador creyó en ello, firmó, y así, una gran cantidad de activos apareció de la nada.
Entonces, ¿quién debe asumir la culpa por este problema, específicamente por el “DVN 1/1”?
La culpa mutua: el choque de dos lógicas
En los primeros momentos tras el ataque, la opinión pública inicialmente apuntaba a LayerZero. Las redes sociales estaban llenas de críticas mordaces a Kelp DAO: como un protocolo líder que gestiona cientos de millones de dólares, usar un “DVN de un solo validador” tan frágil era casi imperdonable.
Sin embargo, cuando el 21 de abril Kelp publicó una “explicación oficial”, ocurrió un giro dramático en la opinión pública. La principal argumentación de Kelp fue una sola frase: si la documentación oficial y la configuración predeterminada son peligrosas, la responsabilidad recae en quienes escribieron la documentación y establecieron los valores predeterminados. Esto no fue un error del usuario, sino un “defecto de orientación” del producto en sí. Aunque el CEO de LayerZero, Bryan Pellegrino, reiteró varias veces que esto era una decisión de la capa de aplicación y no una vulnerabilidad del protocolo, la acusación empezó a cambiar de foco: de la “ineptitud” de Kelp a la “arrogancia sistémica” de LayerZero — que, sabiendo del riesgo en la configuración predeterminada, la usó como ejemplo estándar para una introducción rápida.
Además, las voces de desarrolladores externos amplificaron aún más la controversia. Banteg, desarrollador principal de Yearn, mediante revisiones técnicas, descubrió que la guía rápida de LayerZero V2 en Ethereum, BNB Chain, Polygon, Arbitrum y Optimism usaba esta peligrosa validación de fuente única como configuración predeterminada. Zach Rynes, responsable de la comunidad Chainlink, criticó aún más duramente: acusó a LayerZero de convertir a los usuarios que siguen sus directrices oficiales en “chivos expiatorios”, para encubrir la vulnerabilidad de su infraestructura ante ataques de hackers de alto nivel.
¿Quién tiene la culpa? En realidad, ninguno está completamente equivocado ni completamente correcto. La esencia del debate es el choque entre dos lógicas: una es la ética de los “geeks”, que sostiene que las herramientas son neutrales y que los usuarios deben responsabilizarse de sus decisiones; la otra es el “principio de seguridad predeterminada”, que afirma que el estado de fábrica del producto debe ser el más seguro posible. Los usuarios pueden reducir barreras para mayor conveniencia, pero el producto no debe guiarlos hacia el peligro.
En la ingeniería de software tradicional, la “seguridad predeterminada” ya es un consenso. Los sistemas operativos activan por defecto el firewall, los navegadores bloquean ventanas emergentes por defecto. Estas decisiones no se toman porque los usuarios sean tontos, sino porque los diseñadores tienen la responsabilidad de prever los “usos en el peor escenario”. Sin embargo, en el mundo Web3, se sigue otra lógica: “tú eres responsable” — tú guardas tus claves privadas, tú verificas tu configuración, tú asumes tus pérdidas.
La “asunción de responsabilidad” de Bryan: una retirada cuidadosamente diseñada
Bajo la presión de la opinión pública y del mercado, el precio del token ZRO cayó de 1.98 dólares a 1.32 dólares. El 5 de mayo, Bryan Pellegrino, que anteriormente mantenía una postura firme, finalmente se rindió y admitió: “Me equivoqué”.
En esta ocasión, no se quedó en la discusión sobre “neutralidad técnica”, sino que afirmó que había sufrido una “disonancia cognitiva”, suponiendo erróneamente que los usuarios tenían la capacidad profesional para identificar y evitar configuraciones débiles como la 1/1. Luego, propuso una solución para recuperar la confianza del mercado: centrarse en servir a los emisores de activos, reforzar las medidas de seguridad y colaborar con DeFi United en la reconstrucción post-crisis de rsETH.
Por supuesto, la sutileza de esta declaración también reside en esas “palabras no dichas”.
Bryan no mencionó “compensación” ni admitió que Kelp DAO tuviera alguna culpa. Con una frase de gran astucia de relaciones públicas, “tenemos la oportunidad de hacerlo mejor”, convirtió un incidente que involucró 292 millones de dólares en una simple “pena por un proceso de búsqueda de la excelencia”.
Claramente, esta es una postura cuidadosamente calculada. LayerZero no planea — y probablemente no lo hará — pagar de su bolsillo por este agujero negro de casi 3 mil millones de dólares, pero debe asumir esta “responsabilidad indirecta” para limitar daños. Reconoce que, como líder en el sector de puentes entre cadenas, si solo proporciona herramientas sin asumir cierta responsabilidad, su foso protector será inútil. Al aceptar proactivamente la responsabilidad, LayerZero busca, en realidad, un paso digno para sí mismo y para el frágil precio del ZRO.
Conclusión
La pérdida de 292 millones de dólares no solo representa un déficit en las cuentas, sino también una prueba de resistencia integral a la confianza en DeFi. Afortunadamente, aunque las instituciones se echen la culpa mutuamente, la industria aún muestra una admirable “capacidad de autocuración”.
Como el protocolo de préstamos más afectado, Aave no se quedó de brazos cruzados. Cuando la firma legal estadounidense Gerstein Harrow intentó congelar los aproximadamente 71 millones de dólares en ETH recuperados del DAO de Arbitrum, el equipo de gobernanza de Aave presentó una moción urgente para que el tribunal revocara la orden de restricción. Al mismo tiempo, liderados por Aave, varios protocolos formaron espontáneamente el plan DeFi United, que está logrando avances significativos. Con aportaciones múltiples y mecanismos de reparto de beneficios, ya han recaudado más de 300 millones de dólares, y están en proceso de absorber las deudas incobrables en la plataforma Aave.
El daño de este incidente fue severo, pero si logra que los actores de infraestructura respeten los “límites de seguridad”, que los desarrolladores sean más cautelosos con las “configuraciones predeterminadas”, y que la industria mejore su capacidad de autoconfianza en crisis, quizás esta lección no sea en vano. Cuando Bryan Pellegrino dice “tenemos la oportunidad de hacerlo mejor” y cuando DeFi United trabaja en conjunto para llenar los vacíos del ecosistema, no solo protegen las pérdidas de rsETH, sino también la última chispa de confianza de los usuarios en este mundo descentralizado lleno de incertidumbre.