Puntos clave de la noticia:
- LayerZero está siendo acusada por las fallas de seguridad operacional tras detectarse que sus claves multisig de producción ejecutaron operaciones en la memecoin McPepes.
- Tres de los cinco firmantes del Gnosis Safe 2-of-5 realizaron transacciones en exchanges descentralizados, dejando expuestas claves que custodian miles de millones de dólares.
- El CEO Bryan Pellegrino atribuyó las operaciones a ex firmantes ya removidos y negó que fueran especulación, aunque parte de la comunidad rechazó su explicación.
El protocolo de mensajería cross-chain LayerZero se encuentra en una nueva controversia de seguridad tras revelarse que las claves de su multisig de producción 2-of-5 en Gnosis Safe fueron utilizadas para ejecutar operaciones en Uniswap sobre la memecoin McPepes.
Las capturas de pantalla de una discusión interna que se viralizaron en X muestran que tres de los cinco firmantes usaron esas mismas claves para actividades ajenas a la gestión del multisig, lo que viola el principio básico de aislamiento de claves en operaciones de infraestructura crítica.
Claves que Custodian Millones, Usadas para Comprar Memecoins
Uno de los firmantes, identificado con la dirección 0x1f5E377a3ADBe6f3289ADb6b21eae6427dfbb553, realizó una operación el 1 de marzo de 2023 intercambiando 0,198548073 ETH por aproximadamente 1,73 millones de tokens McPepes a través de Uniswap V3. Otro firmante mantenía alrededor de $12 millones en la wallet mientras realizaba staking en Stargate. Un tercero participaba en la provisión de liquidez en plataformas como Curve, PancakeSwap y SpookySwap.
El multisig no contaba con timelock y las claves permanecieron sin rotación durante varios años. Al tratarse del componente que controla configuraciones DVN y librerías para protocolos compatibles con LayerZero, la exposición a ataques de contratos maliciosos y esquemas de phishing resulta alarmante: solo dos claves comprometidas habrían sido suficientes para vaciar el multisig completo.
El Silencio de LayerZero Dice Más que las Palabras
Bryan Pellegrino, CEO de LayerZero, respondió a las acusaciones atribuyendo las transacciones a ex firmantes ya removidos y las describió como pruebas de OFT, no como especulación. Los críticos cuestionaron esa explicación, señalando que una operación de ETH por una memecoin vía Uniswap difícilmente encaja en la definición de testing.
Zach Rynes, de Chainlink, calificó las prácticas de seguridad como «aterradoras» y advirtió sobre el riesgo de ataques a la cadena de suministro para quienes utilizan LayerZero en su configuración predeterminada. Ayer Solv Protocol anunció la migración de más de $700 millones en BTC tokenizado desde LayerZero hacia el CCIP de Chainlink, citando revisiones de seguridad y problemas con bridges.
