Kelp DAO pointe du doigt LayerZero après un exploit de pont de 292 millions de dollars et passe à Chainlink

Table des matières Un incident de sécurité majeur a frappé Kelp DAO le 18 avril, entraînant une perte d'environ 292 millions de dollars lorsque des acteurs malveillants ont réussi à siphonner 116 500 jetons rsETH via l'infrastructure de pont intégrée LayerZero du protocole. Après le récent exploit LayerZero, nous prenons des mesures pour garantir que rsETH est entièrement sécurisé, c'est pourquoi nous migrons vers @chainlink CCIP. D'après l'incident du 18 avril, il est clair que la propre infrastructure de LayerZero a été exploitée, entraînant des pertes de 300 millions de dollars dans DeFi.… https://t.co/beIrfZZLlh — Kelp (@KelpDAO) 5 mai 2026 Après le vol initial, les auteurs ont déployé les jetons volés comme garantie dans Aave v3, leur permettant d'extraire de l'Ether enveloppé. Avant que Kelp ne puisse geler ses contrats intelligents, deux transactions frauduleuses dépassant 100 millions de dollars en valeur combinée ont été exécutées avec succès. LayerZero a attribué l’attaque au célèbre groupe Lazarus de Corée du Nord. Selon les rapports, les acteurs malveillants ont obtenu le registre des nœuds RPC exploités par le DVN LayerZero Labs, ont réussi à infiltrer deux serveurs et à remplacer leur logiciel opérationnel. Par la suite, ils ont orchestré une attaque par déni de service distribué (DDoS) sur les nœuds non compromis, redirigeant le trafic réseau vers l'infrastructure corrompue. Le DVN manipulé a ensuite validé des transactions frauduleuses qui n’ont jamais eu lieu légitimement sur la blockchain. L'incident de sécurité a déclenché une confrontation publique controversée entre Kelp DAO et LayerZero concernant la responsabilité de la vulnérabilité exploitée. Dans l'analyse de l'incident de LayerZero du 19 avril, la plate-forme a déclaré que la violation s'était produite en raison du pont de Kelp fonctionnant avec un réseau de vérification décentralisé (DVN) solitaire au lieu de déployer plusieurs couches de vérification indépendantes. LayerZero a qualifié cela de configuration qui « contredit directement » ses recommandations de sécurité. Kelp DAO a publié une réfutation mardi, publiant une documentation affirmant que le personnel de LayerZero avait évalué sa configuration technique sur une période de 2,5 ans s'étalant sur huit consultations d'intégration distinctes, sans jamais soulever de préoccupations concernant l'architecture à vérificateur unique. Kelp a fourni des captures d'écran de communications Telegram démontrant prétendument qu'un représentant de LayerZero acceptait la configuration sans soulever d'objections. CoinDesk n'a pas pu authentifier ces captures d'écran de manière indépendante. Kelp a en outre fait référence aux renseignements de Dune Analytics indiquant que 47 % des quelque 2 665 contrats LayerZero opérationnels utilisaient une architecture DVN identique 1 sur 1 au cours d'une période de 90 jours se terminant vers le 22 avril. Ces contrats représentaient collectivement plus de 4,5 milliards de dollars de capitalisation boursière associée. Sujith Somraaj, analyste de sécurité et ancien auditeur de LayerZero, a révélé qu'il avait déjà soumis un rapport de vulnérabilité détaillant la méthodologie d'attaque identique avant l'exploit. Selon Somraaj, LayerZero a rejeté sa demande. Le PDG de LayerZero, Bryan Pellegrino, a répondu sur X, qualifiant de nombreuses affirmations de Kelp de « complètement fausses ». Pellegrino a déclaré que Kelp avait initialement déployé la configuration par défaut multi-DVN recommandée, puis l'avait reconfigurée manuellement vers la configuration 1 sur 1. Il a indiqué que des documents post-mortem complets provenant d'organisations de sécurité indépendantes seraient publiés sous peu. Dans une déclaration officielle, un représentant de LayerZero a confirmé que les paramètres par défaut du protocole dans presque toutes les voies opérationnelles utilisent une architecture multi-DVN. Le représentant a expliqué que lorsque les configurations 1 sur 1 apparaissent dans les modèles de développement, elles font référence à un « DeadDVN » qui bloque les messages et oblige les développeurs à mettre en œuvre la configuration appropriée avant le déploiement en production. LayerZero a en outre déclaré qu'il interromprait la signature de messages pour toute application fonctionnant avec une configuration 1 sur 1, une politique mise en œuvre immédiatement après la faille de sécurité. Kelp affirme que son équipe interne a identifié et signalé de manière indépendante la vulnérabilité de LayerZero, contrairement à la version des événements de LayerZero. Kelp est actuellement en train de faire passer rsETH de la norme OFT de LayerZero à la norme Cross-Chain Token de Chainlink via son protocole d'interopérabilité inter-chaînes. Selon la documentation technique actuelle, sur au moins deux réseaux blockchain intégrés (Dinari et Skale), le DVN de LayerZero Labs continue de fonctionner comme seul attestateur désigné.