Les cyber-agents nord-coréens siphonnent près de 300 millions de dollars dans un braquage inter-chaînes ciblant le protocole LayerZero de KelpDAO

Faits marquants La brèche qui a vidé le pont inter-chaînes KelpDAO le 18 avril 2026 a commencé six semaines plus tôt. Le 6 mars, un développeur de LayerZero Labs a cloné un référentiel GitHub malveillant, installant les logiciels malveillants FLATROOF et ROOFDECK sur un appareil de l'entreprise. Le logiciel malveillant a donné aux attaquants un accès à distance et leur a permis de récolter des clés de session pour l'infrastructure d'appel de procédure à distance (RPC) de LayerZero.

Les sociétés de cybersécurité Mandiant et CrowdStrike ont attribué l'attaque avec une grande confiance à UNC4899, également connu sous le nom de TraderTraitor, un groupe menaçant lié à l'État nord-coréen. Le montant total volé s'élevait à 292 millions de dollars aux prix du marché le jour de la violation, selon le rapport final d'incident de LayerZero publié le 18 mai 2026.

Un faux message inter-chaînes a libéré 116 500 rsETH après la compromission d'un seul nœud de vérification. L'architecture de LayerZero s'appuie sur des réseaux de vérification décentralisés (DVN) pour confirmer que les messages inter-chaînes sont légitimes avant que les contrats de relais ne débloquent les fonds. Le 18 avril, des attaquants ont injecté du code malveillant dans deux des clusters de serveurs RPC internes de LayerZero. Le code injecté a permis à ces serveurs de renvoyer un état de blockchain forgé au service de signature DVN tout en semblant normal pour les outils de surveillance.

Simultanément, les attaquants ont lancé une attaque par déni de service distribué contre le fournisseur RPC externe de LayerZero. Cela a obligé le DVN à se rabattre exclusivement sur les deux nœuds internes compromis. Le DVN a produit une attestation valide pour un faux message inter-chaînes, et le contrat de pont Ethereum a libéré 116 500 rsETH – le jeton de reprise liquide de KelpDAO – à l'adresse de l'attaquant. Aucune autre application du réseau LayerZero n'a été affectée.

LayerZero admet qu'il n'a pas réussi à surveiller comment son propre vérificateur a sécurisé les transferts de grande valeur. Le pont de KelpDAO fonctionnait auparavant avec deux DVN requis pour attester chaque message – une configuration 2 sur 2. Il a été modifié pour ne nécessiter qu'un seul vérificateur, le DVN LayerZero Labs lui-même, créant ainsi un point de défaillance unique. LayerZero a initialement attribué la responsabilité au choix de configuration de KelpDAO. Il a inversé cette position le 8 mai 2026.

"Nous avons commis une erreur en autorisant notre DVN à agir comme un DVN 1/1 pour les transactions de grande valeur. Nous n'avons pas contrôlé ce que notre DVN sécurisait, ce qui a créé un risque que nous n'avons tout simplement pas vu. Nous en sommes propriétaires.", 8 mai 2026.

-Laboratoires LayerZero 

Suite à cette admission, LayerZero a déclaré que son DVN ne signerait plus d'attestations pour toute application utilisant une configuration 1 sur 1. Les défauts de protocole dans toutes les voies ont été portés à un minimum de 3 vérificateurs sur 3.

Le protocole Solv retire 700 millions de dollars d'infrastructure de pont Bitcoin tokenisée de LayerZero. Le protocole Solv, qui gère les produits Bitcoin tokenisés, a annoncé qu'il migrerait plus de 700 millions de dollars d'infrastructure de pont hors de LayerZero après avoir effectué un examen de sécurité. Kelp a également migré son pont rsETH du standard Omnichain Fungible Token de LayerZero vers un protocole inter-chaîne alternatif. Les deux annonces faisaient suite à la divulgation publique de l’exploit et à l’aveu de faute de LayerZero.

Les normes de sécurité du pont DeFi font l’objet d’un examen minutieux alors qu’Ethereum absorbe les retombées. Ethereum s’échangeait à 1 980 $ au moment de la publication, en baisse de 5,5 % au cours des sept derniers jours (CoinPaprika, 2 juin 2026). L’écosystème plus large d’Ethereum DeFi héberge la majeure partie de l’infrastructure de pont inter-chaînes en termes de valeur totale verrouillée et réévalue les hypothèses de sécurité à la suite de l’incident.

La violation de KelpDAO a exposé un risque qui s'étend au-delà du seul LayerZero. Tout pont s'appuyant sur un seul vérificateur pour attester des messages inter-chaînes de grande valeur comporte une exposition structurelle équivalente. Le Conseil de sécurité de l'Arbitrum a gelé 30 766 ETH dans les fonds en aval liés à l'attaquant le 20 avril 2026, limitant partiellement l'impact plus large de la violation sur le marché.

Source principale : LayerZero Labs — An Overdue Apology, 8 mai 2026. Les sociétés de cybersécurité Mandiant et CrowdStrike ont attribué l'attaque avec une grande confiance à UNC4899, également connu sous le nom de TraderTraitor — un groupe menaçant lié à l'État nord-coréen. Le total volé s'élevait à 292 millions de dollars aux prix du marché le jour de la violation, selon le dernier incident de LayerZero.