Le protocole multi-chaînes renforce les défenses contre les transferts Ethereum enveloppés après un vol de près de 300 millions de dollars sur la plate-forme rivale

Table des matières Ether.fi a divulgué sa réponse complète à l'exploit rsETH du 18 avril qui a affecté Kelp DAO. Un faux message inter-chaînes a libéré environ 292 millions de dollars en rsETH non sauvegardés lors de l'incident. Aucun système de la plateforme n'a été directement compromis. Les coffres EtherFi Liquid n’étaient pas non plus directement exposés au rsETH. L'événement a révélé une vulnérabilité critique dans l'infrastructure de messagerie inter-chaînes DeFi. Cela a conduit le protocole à exécuter un renforcement de la sécurité à l’échelle du protocole sur les 20 chaînes où weETH est déployé. La cause première de l’exploit était une configuration à DVN unique manquant de redondance. Le pont Ether.fi avait auparavant imposé deux DVN ou plus sur toutes les voies. L’incident a néanmoins déclenché un réexamen complet et trois mesures concrètes de durcissement. Le premier correctif impliquait l’épinglage d’une bibliothèque de messages sur chaque voie weETH. Ether.fi a épinglé les adresses SendUln302 et ReceiverUln302 dans l'emplacement de configuration spécifique à OApp de weETH. Cela a empêché le multisig de LayerZero d'échanger dans une bibliothèque qui contourne la vérification DVN. Le chemin de secours a été entièrement fermé sur toutes les chaînes. Le protocole a ensuite épinglé son ensemble de quatre DVN et augmenté le seuil de vérification à 4/4. Chaque message weETH entrant nécessite désormais une attestation des quatre DVN. Un seul DVN malveillant ou indisponible arrête le message plutôt que d'être contourné. LayerZero a examiné et confirmé de manière indépendante la configuration mise à jour. En outre, la plate-forme a resserré les limites des tarifs par itinéraire pour tous les contrats de pont qu'elle contrôle. Chaque voie source et destination applique désormais un plafond weETH entrant et sortant conservateur. Ces limites reposent sur des contrats entièrement contrôlés par le protocole. Ils restent efficaces quel que soit le comportement du fournisseur de pont en amont. Au-delà des solutions immédiates, le protocole évalue un deuxième fournisseur de pont indépendant pour réduire le risque systémique. Chainlink CCIP et Wormhole sont actuellement à l'étude aux côtés de LayerZero. Les messages weETH inter-chaînes nécessiteraient alors l’attestation d’un quorum de fournisseurs. Cette décision élimine complètement la dépendance à un seul fournisseur. Suite à une évaluation systématique des risques L2, ether.fi déconseille le pontage weETH sur huit réseaux. Scroll, Swell, Bera, zkSync, Mode, Blast, Morph et Sonic seront obsolètes à compter de fin juin. Pour combler le déficit de coordination dans DeFi, ether.fi rejoint le collectif DeFi United. La coalition rassemble Aave, Kelp DAO, LayerZero et ether.fi. Les normes de sécurité partagées et les réponses coordonnées aux incidents constituent son objectif principal. Cette approche garantit qu’aucun protocole n’est confronté seul à une défaillance inter-chaînes. La Fondation EtherFi contribue 5 000 ETH à un véhicule de secours dédié à DeFi United. D'autres partenaires du collectif contribuent également aux côtés d'ether.fi. Lorsque de futurs échecs se produisent, la coalition vise à ce que l’écosystème réagisse de manière unifiée.