KelpDAO accuse LayerZero d’exploitation
KelpDAO accuse LayerZero d’être responsable d’une exploitation ayant entraîné une perte de 292 millions de dollars et envisage de relancer un système inter-chaînes repensé sur Chainlink, comme l’a annoncé le groupe sur X mardi.
« Suite à l’incident du 18 avril, il est évident que l’infrastructure de LayerZero a été compromise, entraînant des pertes de 300 millions de dollars dans le secteur de la finance décentralisée (DeFi), » a déclaré KelpDAO sur X.
Des rapports indépendants de SEAL 911, Chainalysis et d’autres chercheurs en sécurité de renom pointent tous vers la même origine. En avril, une attaque a siphonné environ 116 500 rsETH – un jeton de staking basé sur Ethereum – d’un pont inter-chaînes utilisé par Kelp, un protocole permettant aux utilisateurs de staker de l’Ethereum et de transférer des jetons entre différentes blockchains. Cette exploitation a été attribuée au groupe Lazarus, lié à la Corée du Nord.
Problèmes de sécurité et configuration
Dans un post séparé sur X, Kelp a affirmé que le personnel de LayerZero avait validé la configuration associée à l’exploitation sans avertir des risques de sécurité qu’elle comportait. Cette configuration, connue sous le nom de vérificateur 1-à-1, repose sur une seule entité pour valider les transactions inter-chaînes.
Kelp a précisé que l’attaque provenait d’une violation de l’infrastructure de LayerZero, où les attaquants ont compromis les nœuds RPC du réseau de vérificateurs, forçant le système à se fier à des données falsifiées, ce qui a permis l’approbation de transactions frauduleuses.
« Après l’exploitation, LayerZero a annoncé qu’il ne signerait ni n’attesterait de messages pour toute application utilisant une configuration DVN 1-1, » a écrit Kelp.
« Ce changement de politique, intervenu après l’exploitation de centaines de millions de dollars, confirme qu’il s’agissait d’une configuration largement utilisée de LayerZero, que LayerZero Labs n’a modifiée qu’après son échec. » Dans une déclaration d’avril, LayerZero a contesté cette version des faits, affirmant que l’exploitation était isolée à l’application rsETH de Kelp et résultait de l’utilisation d’une configuration à vérificateur unique, contraire au modèle multi-vérificateur recommandé par l’entreprise.
« Cette présentation ne correspond pas à la réalité, » a rétorqué KelpDAO.
« Il est de notoriété publique que cette configuration 1-1 n’était pas exclusive à Kelp. » Selon Kelp, il a suivi la documentation et les configurations par défaut fournies par LayerZero. L’entreprise a également souligné que cette configuration était largement adoptée dans l’écosystème, citant des données montrant qu’une part importante des applications reposait sur des configurations similaires.
Migration vers Chainlink
Kelp a annoncé qu’il transférerait son système rsETH vers le protocole d’interopérabilité inter-chaînes de Chainlink, où les transactions doivent être validées par plusieurs validateurs indépendants plutôt que par un seul vérificateur.
« Nous sommes déterminés à collaborer avec l’équipe de KelpDAO pour renforcer la sécurité inter-chaînes de rsETH et soutenir leur migration vers Chainlink CCIP, » a déclaré Johann Eid, directeur commercial de Chainlink, à Decrypt.
« Nous avons toujours cru que pour que le DeFi atteigne son plein potentiel et génère des trillions sur la chaîne, l’écosystème doit être soutenu par une infrastructure hautement sécurisée. » L’impact de l’exploitation de Kelp s’est étendu au-delà du simple différend technique. Environ 71 millions de dollars en crypto-monnaies liés à l’exploitation ont été gelés sur le réseau Arbitrum, déclenchant un combat juridique dans un tribunal fédéral de New York.
« Il y a des questions auxquelles l’écosystème mérite des réponses, » a écrit KelpDAO.
« Et nous veillons à ce que rsETH soit sécurisé par une infrastructure qui ne laisse pas ces questions en suspens. » LayerZero n’a pas immédiatement répondu à une demande de commentaire de Decrypt.
