Lido es reconocido como uno de los principales protocolos de staking líquido dentro del ecosistema de Ethereum, gestionando más de un cuarto del total de ETH apostados en la red. La gobernanza y la seguridad de Lido son fundamentales no solo para sus usuarios, sino para toda la salud y estabilidad del ecosistema Ethereum. Recientemente, el protocolo enfrentó un incidente de seguridad que aunque llevó a la pérdida de 1.46 ETH en concepto de tarifas de gas, no impactó en los fondos de los usuarios y no comprometió sus operaciones en general. El origen del problema estuvo en la vulneración de una clave privada vinculada a uno de los operadores de validadores, Chorus One.
Esta vulneración afectó una clave usada en una billetera caliente para el reporte de oráculos, un componente esencial para el funcionamiento de Lido. Los oráculos en blockchain sirven para llevar información confiable desde fuera de la cadena hacia los contratos inteligentes, y en el caso de Lido, su sistema de oráculos se basa en un mecanismo de quórum de 5 entre 9 claves, lo que significa que hasta la presencia de cuatro claves comprometidas no afecta la seguridad global del sistema. Las investigaciones internas y la rápida detección se activaron luego de que se alertara sobre movimientos inusuales y bajo saldo en la cuenta comprometida. Fue así que Lido confirmó el acceso no autorizado a esta clave antigua, creada en 2021, y que no tenía los robustos controles de seguridad que se aplican a las más recientes. A raíz de esto, y para mitigar cualquier riesgo mayor, el equipo de Lido inició una votación de emergencia en su DAO para rotar dicha clave en los tres contratos inteligentes afectados: el Oracle de Contabilidad, el Oracle del Bus de Salida de Validadores y el Oracle de Tarifas del Sistema.
Este cambio pretende no solo reemplazar la clave comprometida, sino también implementar mejores estándares de seguridad para evitar incidentes similares en el futuro. La nueva clave, generada con controles mucho más estrictos, sustituye la dirección comprometida y cuenta con el respaldo y aprobación dentro de los tiempos establecidos en la estructura de gobernanza de Lido. Este incidente ocurrió en un contexto algo complicado, ya que otros operadores de oráculos también estaban experimentando problemas independientes durante ese periodo, como un error menor detectado en algunos nodos a causa de la reciente actualización Pectra de Ethereum, afectando brevemente la entrega de informes en oráculos. Pese a ello, la situación fue contenida sin poner en riesgo el ecosistema ni la experiencia de los usuarios. Uno de los aspectos críticos que este suceso pone de relieve es la importancia de mantener actualizados y protegidos los sistemas de seguridad en protocolos DeFi y staking que manejan grandes volúmenes de criptomonedas y son responsables de la integridad de la red.
Lido, al representar una parte tan significativa del ether apostado, podría haber enfrentado consecuencias graves de haberse visto comprometido más a fondo. La rápida reacción y la coordinación entre los operadores involucrados demuestran la madurez del protocolo en cuanto a gestión de crisis. Además, este incidente reafirma el papel férreo que la gobernanza descentralizada puede tener frente a amenazas externas. A través de la votación y la transparencia en todas las fases del proceso, la comunidad pudo tomar decisiones inmediatas orientadas a controlar el riesgo y proteger los fondos y servicios que Lido ofrece. Esto ayuda a fortalecer la confianza en el protocolo y en el ecosistema Ethereum en general.
Si bien nuevos desafíos en seguridad aparecen constantemente en el panorama cripto, la gestión proactiva y los sistemas de backups y controles multilaterales permiten que amenazas de magnitud peligrosa puedan evitarse o minimizarse eficazmente. La acción en Lido es un claro ejemplo de cómo la cooperación entre desarrolladores, operadores y usuarios es esencial para mantener la resiliencia de estas plataformas críticas. El impacto en los precios de ETH y otras criptomonedas relacionadas con el evento fue casi imperceptible, con una pérdida de valor que solo correspondió a las tarifas de gas robadas, estimadas en poco más de 4,200 dólares. Esto refleja que el mercado también reconoce la naturaleza controlada y contenida del suceso, así como la solidez del protocolo. En conclusión, aunque el incidente de seguridad en Lido habría podido derivar en una crisis mayor, la rapidez para detectarlo, comunicarlo, y tomar acciones correctivas ha demostrado la robustez del ecosistema de staking líquido en Ethereum.
