LayerZero détaille l'exploit de 292M$ de KelpDAO et renforce la sécurité du Bridge cross-chain
LayerZero Labs a publié son rapport d'incident sur l'attaque du bridge KelpDAO, indiquant qu'environ 292 millions de dollars en rsETH ont été volés après que des attaquants ont empoisonné l'infrastructure RPC utilisée par son réseau de vérification, forçant des changements de politique autour des configurations à signataire unique.
- LayerZero a indiqué que KelpDAO a été exploité pour environ 290 millions de dollars, soit environ 116 500 rsETH, dans une attaque isolée à la configuration DVN unique de rsETH.
- La société a déclaré que les indicateurs préliminaires pointent vers TraderTraitor lié à la Corée du Nord et a décrit l'exploit comme une compromission d'infrastructure plutôt qu'une faille de protocole.
- LayerZero a indiqué qu'il cessera de signer des messages pour les applications utilisant des configurations DVN 1/1 et pousse les intégrateurs concernés vers une redondance multi-DVN.
LayerZero Labs a publié un compte rendu détaillé de l'exploit KelpDAO, confirmant que des attaquants ont volé environ 116 500 rsETH, d'une valeur d'environ 292 millions de dollars, en compromettant l'infrastructure en aval liée à la couche de vérification utilisée dans la configuration Cross-chain de KelpDAO.
La société a indiqué que l'incident était limité à la configuration rsETH de KelpDAO car l'application reposait sur une configuration DVN 1-sur-1 avec LayerZero Labs comme seul vérificateur, une conception que LayerZero a déclaré directement en contradiction avec sa recommandation permanente d'utiliser des configurations multi-DVN diversifiées avec redondance.
Dans sa déclaration, LayerZero a affirmé qu'il y avait « zéro contagion à tout autre actif ou application Cross-chain », arguant que l'architecture de sécurité modulaire du protocole a contenu le rayon d'explosion même lorsqu'une configuration au niveau d'une seule application a échoué.
Comment l'attaque a fonctionné
Selon le rapport de LayerZero, l'attaque du 18 avril 2026 a ciblé l'infrastructure RPC sur laquelle s'appuyait le DVN de LayerZero Labs plutôt que d'exploiter le protocole LayerZero, la gestion des clés ou le logiciel DVN lui-même.
La société a indiqué que les attaquants ont accédé à la liste des RPC utilisés par le DVN, compromis deux nœuds fonctionnant sur des clusters séparés, remplacé les binaires sur les nœuds op-geth, puis utilisé des charges utiles malveillantes pour alimenter le vérificateur en données de transaction falsifiées tout en renvoyant des données véridiques aux autres points de terminaison, y compris les services de surveillance internes.
Pour compléter l'exploit, les attaquants ont également lancé des attaques DDoS sur les points de terminaison RPC non compromis, ce qui a déclenché un basculement vers les nœuds empoisonnés et a permis au DVN de LayerZero Labs de confirmer des transactions qui n'avaient en réalité jamais eu lieu.
Les travaux médico-légaux externes correspondent globalement à cette description. Chainalysis a déclaré que les attaquants liés au Lazarus Group de Corée du Nord, spécifiquement TraderTraitor, n'ont pas exploité un bug de smart contract mais ont plutôt forgé un message Cross-chain en empoisonnant les nœuds RPC internes et en submergeant les externes dans une configuration de vérification à point de défaillance unique.
Changements de sécurité
LayerZero a indiqué que la réponse immédiate comprenait la dépréciation et le remplacement de tous les nœuds RPC affectés, la restauration du DVN de LayerZero Labs en opération et la prise de contact avec les forces de l'ordre tout en travaillant avec des partenaires de l'industrie et Seal911 pour tracer les fonds volés.
Plus important encore, la société modifie la façon dont elle gère les configurations risquées. Dans la déclaration, LayerZero a indiqué que son DVN « ne signera ni n'attestera les messages d'aucune application utilisant une configuration 1/1 », un changement de politique direct visant à prévenir une répétition du mode de défaillance de KelpDAO.
La société contacte également les projets utilisant encore des configurations 1/1 pour les migrer vers des modèles multi-DVN avec redondance, admettant effectivement que la flexibilité de configuration sans garde-fous de sécurité imposés était trop permissive en pratique.
Le tableau d'attribution s'est également durci. Chainalysis a lié l'exploit au Lazarus Group de Corée du Nord et spécifiquement à TraderTraitor, tandis que Nexus Mutual a déclaré que le message forgé a drainé 292 millions de dollars du bridge de KelpDAO en moins de 46 minutes, en faisant l'une des plus grandes pertes DeFi de 2026.
Le résultat est une leçon familière mais brutale pour l'infrastructure Cross-chain : les smart contracts peuvent survivre intacts et le protocole peut tout de même échouer en pratique si la couche de confiance off-chain est suffisamment faible. LayerZero tente désormais de prouver que la bonne conclusion d'un vol de bridge de 292 millions de dollars n'est pas que la sécurité modulaire a échoué, mais que permettre à quiconque d'exécuter une configuration à signataire unique était la vraie erreur.
Vous aimerez peut-être aussi
Convertir Word en PDF sans perdre les polices, les images ou la mise en page
La Caroline du Sud promulgue une loi favorable aux cryptomonnaies
L'action Macy's (M) gagne du terrain après que Berkshire Hathaway prend une nouvelle Position
