Kelp DAO migre vers Chainlink CCIP après avoir accusé LayerZero d'échec de sécurité
Kelp DAO a annoncé son intention de migrer son infrastructure inter-chaînes vers CCIP de Chainlink, tout en contestant les affirmations selon lesquelles sa propre configuration était à l'origine de l'exploit de 300 millions de dollars lié à LayerZero.
Dans un article détaillé publié le 5 mai, Kelp a déclaré que l'attaque du 18 avril provenait de vulnérabilités au sein de l'infrastructure de LayerZero, et non d'une mauvaise configuration au niveau du protocole comme suggéré précédemment.
Kelp rejette le récit d’une « mauvaise configuration »
Le protocole a repoussé les affirmations selon lesquelles son utilisation d'une configuration DVN [Decentralized Verifier Network] 1 sur 1 était la cause de la vulnérabilité.
Kelp a déclaré que la configuration était :
largement utilisé dans l'écosystème LayerZero
inclus dans la documentation par défaut
explicitement approuvé dans des communications antérieures
Il a cité des données publiques suggérant que près de la moitié des applications intégrées à LayerZero fonctionnaient dans des configurations similaires, la plupart des transactions reposant sur le propre DVN de LayerZero.
Attaque attribuée à une compromission au niveau de l'infrastructure
Selon Kelp, l'exploit impliquait une violation de l'infrastructure hors chaîne de LayerZero, permettant aux attaquants de manipuler les nœuds RPC et de générer de fausses attestations de transaction.
Les attaquants auraient déclenché la création de rsETH non garantis et extrait des fonds via les protocoles DeFi.
Kelp a ajouté qu'il avait suspendu les contrats moins d'une heure après la détection de l'attaque et prétend avoir évité des pertes supplémentaires dépassant 100 millions de dollars.
La réponse de LayerZero soulève d’autres questions
Kelp a également remis en question les incohérences dans l’autopsie de LayerZero, en particulier sa caractérisation de l’incident comme un problème de configuration isolé.
Le protocole a noté que LayerZero a ensuite restreint les configurations DVN 1 sur 1 après l'exploit, une décision qui, selon lui, contredit les indications antérieures selon lesquelles de telles configurations étaient acceptables.
Il a en outre exprimé des préoccupations concernant :
dépendances d'infrastructure partagées
manque d'alertes de surveillance
exposition des points de terminaison RPC
Kelp a fait valoir que ces facteurs indiquent des risques systémiques au sein du modèle de confiance de LayerZero.
Le passage à Chainlink signale un impact plus large
Dans le cadre de sa réponse, Kelp a confirmé qu'il passerait au protocole d'interopérabilité inter-chaînes [CCIP] de Chainlink, citant ses antécédents et son modèle de sécurité.
Cette décision reflète une évolution plus large vers une infrastructure inter-chaînes plus robuste à la suite de l’exploit.
Kelp a déclaré que sa priorité restait la sécurisation des fonds des utilisateurs et le rétablissement de la confiance, un rapport médico-légal complet étant attendu à une date ultérieure.
Résumé final
Kelp DAO a annoncé une migration vers Chainlink CCIP après avoir accusé LayerZero de défaillances d'infrastructure dans l'exploit de 300 millions de dollars.
Le différend met en évidence les préoccupations croissantes concernant la sécurité inter-chaînes et les risques systémiques posés par les configurations par défaut largement adoptées.