Points clés
LayerZero Labs a détaillé l'exploit du 18 avril qui a vidé environ 292 millions de dollars du pont rsETH de KelpDAO, attribuant la perte à une infrastructure RPC compromise et à une configuration de sécurité présentant un point de défaillance unique.
« L'incident a été limité à la configuration rsETH de KelpDAO car l'application reposait sur une configuration DVN 1 sur 1 avec LayerZero Labs comme seul vérificateur », a déclaré LayerZero dans son rapport post-mortem, notant que cela contredisait ses recommandations de sécurité habituelles.
Les attaquants ont volé environ 116 500 rsETH en empoisonnant deux nœuds RPC pour envoyer des données de transaction falsifiées au vérificateur. Ils ont simultanément lancé une attaque DDoS sur d'autres nœuds, forçant un basculement vers l'infrastructure compromise et permettant la confirmation de retraits frauduleux qui n'avaient jamais eu lieu sur la chaîne source.
Cet exploit, l'un des plus importants de l'année 2026, a contraint LayerZero à mettre fin au support des configurations à vérificateur unique, poussant tous les projets intégrés vers des modèles multi-signatures afin d'empêcher que des attaques similaires au niveau de l'infrastructure ne créent des pertes au niveau du protocole. L'analyse médico-légale de firmes telles que Chainalysis a lié l'attaque au groupe Lazarus, affilié à la Corée du Nord, et plus précisément au sous-groupe TraderTraitor.
Dans son rapport, LayerZero a souligné que l'attaque était une compromission d'infrastructure plutôt qu'une faille dans son protocole central, ses contrats intelligents ou son logiciel DVN. Les attaquants ont accédé à la liste des RPC utilisés par le DVN de LayerZero Labs, ont compromis deux nœuds et ont remplacé les binaires par du code malveillant. Cela leur a permis de transmettre des messages falsifiés au vérificateur tout en renvoyant des données normales aux services de surveillance, masquant ainsi l'attaque pendant qu'elle se déroulait.
La réponse immédiate de l'entreprise a consisté à désactiver tous les nœuds RPC affectés et à contacter les autorités. Plus significativement, LayerZero a opéré un changement de politique majeur, déclarant que son DVN « ne signera ni n'attestera les messages d'aucune application utilisant une configuration 1/1 ». La firme migre désormais activement les projets de ces configurations à point de défaillance unique vers des modèles multi-vérificateurs redondants.
Cet incident s'inscrit dans une tendance plus large d'exploits ciblant les composants hors chaîne et centralisés des protocoles DeFi. Une attaque similaire a eu lieu le 19 mai, lorsque Echo Protocol a perdu environ 816 000 dollars après qu'une clé d'administration compromise a permis à un attaquant de frapper des eBTC non autorisés sur son déploiement Monad. Misha Putiatin, cofondateur de la société de sécurité Statemind, a noté qu'à mesure que la DeFi devient plus dépendante de l'infrastructure hors chaîne, l'industrie voit une augmentation des « attaques de style Web2.5 » ciblant la gestion des clés et l'infrastructure opérationnelle.
Le piratage de KelpDAO figure parmi les plus importants de l'année, dépassant l'exploit de 285 millions de dollars de Drift Protocol en avril. Il rappelle brutalement que même avec des contrats intelligents sécurisés, la sécurité d'un protocole n'est que le reflet de son maillon hors chaîne le plus faible. La décision de LayerZero d'imposer des normes de sécurité plus strictes à ses utilisateurs est un aveu que des options de configuration trop permissives peuvent engendrer un risque systémique.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.
