Kelp DAO pointe du doigt LayerZero après un exploit de pont de 292 millions de dollars et passe à Chainlink

Table des matières Une faille de sécurité dévastatrice a frappé la plateforme DeFi Kelp DAO le 18 avril, entraînant une perte d'environ 292 millions de dollars lorsque des acteurs malveillants ont siphonné 116 500 jetons rsETH via son infrastructure de pont intégrée à LayerZero. Après le récent exploit LayerZero, nous prenons des mesures pour garantir que rsETH est entièrement sécurisé, c'est pourquoi nous migrons vers @chainlink CCIP. D'après l'incident du 18 avril, il est clair que la propre infrastructure de LayerZero a été exploitée, entraînant des pertes de 300 millions de dollars dans DeFi.… https://t.co/beIrfZZLlh — Kelp (@KelpDAO) 5 mai 2026 Après le vol initial, les auteurs ont déployé ces jetons volés comme garantie dans le protocole de prêt d'Aave v3 pour extraire l'Ether enveloppé. Avant que Kelp ne puisse geler ses contrats intelligents, les attaquants ont réussi à exécuter deux transactions frauduleuses supplémentaires dépassant 100 millions de dollars en valeur combinée. LayerZero a attribué l'attaque au célèbre groupe Lazarus opérant depuis la Corée du Nord. Selon les rapports, les acteurs malveillants ont obtenu l'accès à la liste de nœuds RPC utilisée par le DVN de LayerZero Labs, ont réussi à infiltrer deux nœuds et à remplacer leur logiciel opérationnel par du code malveillant. Les attaquants ont ensuite lancé une attaque par déni de service distribué (DDoS) sur les nœuds non compromis, redirigeant le trafic réseau vers l'infrastructure infectée. Le DVN détourné a ensuite validé des transactions fabriquées qui n’ont jamais eu lieu légitimement sur la blockchain. Cet incident de sécurité a déclenché un intense désaccord public entre Kelp DAO et LayerZero concernant la responsabilité de la faiblesse exploitable. Dans l’analyse d’incident de LayerZero du 19 avril, la société a déclaré que la vulnérabilité provenait du pont de Kelp utilisant un réseau de vérification décentralisé (DVN) solitaire au lieu d’employer plusieurs sources de vérification indépendantes. LayerZero a caractérisé cette approche comme allant « directement à l’encontre » de ses recommandations de sécurité. Kelp DAO a contré ces affirmations mardi avec un mémorandum détaillé. Le protocole affirme que le personnel de LayerZero a examiné la configuration de son infrastructure pendant 2,5 ans au cours de huit consultations d'intégration distinctes, mais n'a jamais identifié l'architecture à vérificateur unique comme présentant des problèmes de sécurité. Kelp a fourni une capture d'écran des communications Telegram démontrant prétendument qu'un représentant de LayerZero reconnaissait la configuration sans soulever d'objections. CoinDesk n'a pas pu authentifier ces captures d'écran de manière indépendante. Kelp a également fait référence aux renseignements de Dune Analytics indiquant que 47 % des quelque 2 665 contrats LayerZero opérationnels utilisaient une configuration DVN identique 1 sur 1 au cours d'une période de 90 jours se terminant vers le 22 avril. Ces contrats représentaient collectivement plus de 4,5 milliards de dollars de capitalisation boursière globale. L'analyste de sécurité Sujith Somraaj, qui a déjà mené des audits pour LayerZero, a révélé qu'il avait déposé une soumission de bug bounty détaillant la méthodologie d'attaque identique avant l'incident. Il a déclaré que LayerZero avait rejeté ses conclusions. Le directeur général de LayerZero, Bryan Pellegrino, a répondu via X, qualifiant de nombreuses affirmations de Kelp de « complètement fausses ». Pellegrino a soutenu que Kelp avait initialement déployé la configuration par défaut multi-DVN recommandée, mais l'avait ensuite modifiée manuellement pour établir une configuration 1 sur 1. Il a promis qu’une analyse complète des incidents réalisée par des organisations de sécurité indépendantes serait publiée sous peu. Un représentant de LayerZero a déclaré dans une communication officielle que les protocoles par défaut dans presque toutes les voies d'intégration mettent en œuvre une architecture multi-DVN. Le représentant a expliqué que les cas où des configurations 1 sur 1 apparaissent dans le code du modèle font référence à une fonction « DeadDVN » conçue pour bloquer les messages et obliger les développeurs à établir les configurations appropriées avant le déploiement. LayerZero a en outre déclaré qu'il mettrait fin à la signature de messages pour toute application fonctionnant avec une configuration 1 sur 1, une politique mise en œuvre immédiatement après la violation. Kelp maintient que son équipe de sécurité interne a découvert et signalé la vulnérabilité de LayerZero, contredisant les suggestions selon lesquelles LayerZero aurait identifié le problème en premier. Kelp est actuellement en train de faire passer rsETH de la norme OFT de LayerZero à la norme Cross-Chain Token de Chainlink en utilisant son protocole d'interopérabilité inter-chaînes. La documentation indique que sur au moins deux réseaux blockchain intégrés – Dinari et Skale – le DVN de LayerZero Labs continue de servir de seul attestateur désigné.