La plate-forme financière décentralisée abandonne le protocole de pont vulnérable après un vol de près de 300 millions de dollars et opte pour une solution sécurisée inter-chaînes

Table des matières KelpDAO migre vers le protocole d'interopérabilité inter-chaînes de Chainlink à la suite d'un exploit majeur le 18 avril 2026. L'attaque, liée au groupe Lazarus de Corée du Nord, a ciblé l'infrastructure de LayerZero et drainé 116 500 rsETH du pont de KelpDAO. Les pertes totales sur les protocoles DeFi ont dépassé 300 millions de dollars. KelpDAO a depuis contesté la définition de l'incident par LayerZero, qualifiant la défaillance de l'infrastructure de problème systémique au sein des propres opérations de LayerZero. L’exploit du 18 avril provient de l’infrastructure hors chaîne de LayerZero Labs. Les attaquants ont compromis deux nœuds RPC utilisés par le DVN de LayerZero et ont lancé une attaque DDoS sur les nœuds restants. Cela a forcé les signataires du DVN à valider une transaction inexistante, produisant de fausses brûlures de jetons et inondant les marchés de rsETH non soutenus. Aave et d’autres plates-formes DeFi faisaient partie des protocoles affectés par le rsETH non pris en charge. Deux autres transactions falsifiées d'une valeur de plus de 100 millions de dollars ont également été signées par le DVN de LayerZero Labs. L'équipe de KelpDAO est intervenue à temps pour suspendre les contrats et bloquer ces transactions avant que d'autres dommages ne surviennent. KelpDAO a également signalé l'exploit directement à LayerZero, car les systèmes de surveillance de ce dernier ne l'avaient pas détecté. Selon KelpDAO, l’équipe de LayerZero ne semblait au courant d’aucun problème lorsqu’elle a été contactée pour la première fois. Cela a soulevé des inquiétudes quant à la fiabilité des processus d’alerte internes de LayerZero. Après le récent exploit LayerZero, nous prenons des mesures pour garantir que rsETH est entièrement sécurisé, c'est pourquoi nous migrons vers @chainlink CCIP. D'après l'incident du 18 avril, il est clair que la propre infrastructure de LayerZero a été exploitée, entraînant des pertes de 300 millions de dollars dans DeFi.… https://t.co/beIrfZZLlh — Kelp (@KelpDAO) 5 mai 2026 LayerZero a attribué l'exploit à l'utilisation par KelpDAO d'une configuration DVN 1 sur 1, la qualifiant de configuration manuelle risquée. KelpDAO a fermement repoussé cette affirmation. Selon les données de Dune Analytics, 47 % des quelque 2 665 contrats LayerZero OApp utilisaient la même configuration DVN 1-1 à l'époque. KelpDAO a également partagé des échanges Telegram montrant les membres de l'équipe LayerZero approuvant explicitement la configuration 1-1 lors des examens préalables au déploiement. Après 2,5 ans de discussions sur l'intégration, LayerZero n'aurait soulevé aucune objection à la configuration. KelpDAO a suivi la propre documentation et les guides de démarrage rapide de LayerZero, qui étaient par défaut la configuration DVN 1-1 de LayerZero Labs. Un article de @CatfishFishy du 24 avril a attiré l'attention sur une déclaration de décembre 2024 de Bryan de LayerZero, qui affirmait qu'aucune application n'utilisait le DVN LayerZero comme configuration 1-1. À ce stade, rsETH détenait déjà environ 200 millions de dollars de TVL pour les déploiements L2 dans cette configuration exacte. Des chercheurs indépendants en sécurité, dont @banteg, ont également confirmé par des rapports publics que l'exploit provenait de la propre infrastructure de LayerZero, et non des paramètres de KelpDAO. Suite à l'exploit, KelpDAO a annoncé une transition complète de LayerZero. Le protocole passe désormais au protocole d’interopérabilité cross-chain de Chainlink et adopte la norme Cross-Chain Token de Chainlink pour rsETH. La migration est actuellement en cours de finalisation par l’équipe d’ingénierie de KelpDAO. Le réseau Oracle décentralisé de Chainlink a traité une valeur de plus de 30 000 milliards de dollars sur plus de sept ans d’exploitation. Le réseau est également resté fonctionnel pendant plusieurs pannes mondiales majeures, ce qui en fait une option plus établie pour la sécurité inter-chaînes. KelpDAO a déclaré que tous les transferts inter-chaînes rsETH passeront bientôt par Chainlink CCIP sur toutes les chaînes prises en charge. Après l'exploit, LayerZero a annoncé qu'il cesserait d'attester les messages pour toute application utilisant une configuration DVN 1-1. KelpDAO a noté que ce changement de politique est intervenu seulement après que la configuration ait déjà causé des centaines de millions de pertes. Cependant, la configuration 1-1 apparaîtrait toujours dans la propre documentation de LayerZero et dans les modèles de déploiement OFT par défaut.