Cryptonews

LayerZero détaille l'exploit KelpDAO de 292 millions de dollars et renforce la sécurité du pont

Source
CryptoNewsTrend
Published
LayerZero détaille l'exploit KelpDAO de 292 millions de dollars et renforce la sécurité du pont

LayerZero Labs a publié son rapport d'incident sur l'attaque du pont KelpDAO, affirmant qu'environ 292 millions de dollars en rsETH ont été volés après que des attaquants ont empoisonné l'infrastructure RPC utilisée par son réseau de vérification et forcé des changements de politique autour des configurations à signataire unique.

LayerZero Labs a publié un compte rendu détaillé de l'exploit KelpDAO, confirmant que les attaquants ont volé environ 116 500 rsETH, d'une valeur d'environ 292 millions de dollars, en compromettant l'infrastructure en aval liée à la couche de vérification utilisée dans la configuration inter-chaînes de KelpDAO.

La société a déclaré que l'incident était limité à la configuration rsETH de KelpDAO, car l'application s'appuyait sur une configuration DVN 1 sur 1 avec LayerZero Labs comme seul vérificateur, une conception qui, selon LayerZero, contredisait directement sa recommandation permanente selon laquelle les applications utilisent des configurations multi-DVN diversifiées avec redondance.

Dans sa déclaration, LayerZero a déclaré qu’il n’y avait « aucune contagion à tout autre actif ou application inter-chaînes », arguant que l’architecture de sécurité modulaire du protocole contenait le rayon d’explosion même en cas d’échec d’une seule configuration au niveau de l’application.

Comment l'attaque a fonctionné

Selon le rapport de LayerZero, l’attaque du 18 avril 2026 visait l’infrastructure RPC sur laquelle s’appuie le DVN de LayerZero Labs plutôt que d’exploiter le protocole LayerZero, la gestion des clés ou le logiciel DVN lui-même.

La société a déclaré que les attaquants ont eu accès à la liste des RPC utilisés par le DVN, ont compromis deux nœuds exécutés sur des clusters distincts, ont remplacé les binaires sur les nœuds op-geth, puis ont utilisé des charges utiles malveillantes pour transmettre de fausses données de transaction au vérificateur tout en renvoyant des données véridiques à d'autres points finaux, y compris les services de surveillance internes.

Pour compléter l'exploit, les attaquants ont également lancé des attaques DDoS sur des points de terminaison RPC non compromis, ce qui a déclenché un basculement vers les nœuds empoisonnés et a permis au DVN de LayerZero Labs de confirmer des transactions qui n'avaient jamais réellement eu lieu.

Le travail médico-légal extérieur correspond largement à cette description. Chainalysis a déclaré que les attaquants liés au groupe Lazarus de Corée du Nord, en particulier TraderTraitor, n'ont pas exploité un bogue de contrat intelligent, mais ont plutôt forgé un message inter-chaînes en empoisonnant les nœuds RPC internes et en écrasant les nœuds externes dans une configuration de vérification à point de défaillance unique.

Modifications de sécurité

LayerZero a déclaré que la réponse immédiate comprenait la dépréciation et le remplacement de tous les nœuds RPC concernés, la restauration du DVN de LayerZero Labs et le contact avec les forces de l'ordre tout en travaillant avec les partenaires industriels et Seal911 pour retracer les fonds volés.

Plus important encore, l’entreprise change sa façon de gérer les configurations à risque. Dans la déclaration, LayerZero a déclaré que son DVN « ne signera ni n'attestera les messages provenant d'applications utilisant une configuration 1/1 », un changement de politique direct visant à empêcher une répétition du mode de défaillance de KelpDAO.

La société s'adresse également aux projets utilisant encore des configurations 1/1 pour les migrer vers des modèles multi-DVN avec redondance, admettant effectivement que la flexibilité de configuration sans rails de sécurité imposés était trop permissive dans la pratique.

L’image de l’attribution s’est également durcie. Chainalysis a lié l'exploit au groupe nord-coréen Lazarus et plus particulièrement à TraderTraitor, tandis que Nexus Mutual a déclaré que le faux message avait drainé 292 millions de dollars du pont de KelpDAO en moins de 46 minutes, ce qui en faisait l'une des plus grandes pertes DeFi de 2026.

Le résultat est une leçon familière mais brutale pour les infrastructures inter-chaînes : les contrats intelligents peuvent survivre intacts et le protocole peut encore échouer en pratique si la couche de confiance hors chaîne est suffisamment faible. LayerZero tente maintenant de prouver que ce qu'il faut retenir d'un vol de pont de 292 millions de dollars n'est pas que la sécurité modulaire a échoué, mais que laisser n'importe qui exécuter une configuration à signataire unique était la véritable erreur.