Exploitation de Kelp DAO par le groupe Lazarus
LayerZero a déclaré que le groupe Lazarus, originaire de Corée du Nord, est le principal suspect derrière l’exploitation de Kelp DAO, qui a entraîné le vol de 116 500 rsETH, d’une valeur d’environ 292 millions de dollars. La société a indiqué que les premiers éléments d’enquête pointent vers un « acteur étatique hautement sophistiqué » et a spécifiquement mentionné « le groupe Lazarus de la RPDC, plus précisément TraderTraitor » dans sa dernière déclaration. L’attaque a eu lieu le 18 avril et est rapidement devenue la plus grande exploitation DeFi signalée cette année.
Détails de l’attaque
LayerZero a expliqué que l’attaquant avait ciblé le système utilisé pour vérifier les messages inter-chaînes, permettant ainsi à un faux message de passer et de déverrouiller des jetons sur le pont. Selon LayerZero, l’attaquant a eu accès à la liste des nœuds RPC utilisés par le réseau vérifié décentralisé de LayerZero Labs (DVN). L’attaquant a ensuite empoisonné deux de ces nœuds pour qu’ils délivrent un faux message inter-chaînes au réseau de vérification. Parallèlement, une attaque DDoS a été lancée contre des nœuds sains, ce qui a contraint le DVN à s’appuyer sur les nœuds empoisonnés. Cette combinaison a permis au message falsifié de circuler dans le système et de déclencher le déverrouillage des jetons, entraînant ainsi la perte.
Conséquences de l’attaque
De plus, LayerZero a souligné que les dommages étaient possibles parce que Kelp DAO utilisait une configuration DVN unique 1 sur 1, sans vérificateur de secours. Cela a créé un point de défaillance unique, ne laissant aucun contrôle indépendant pour rejeter le faux message avant que le pont ne libère des fonds. Dans sa déclaration, LayerZero a précisé que « l’exploitation d’une configuration à point de défaillance unique signifiait qu’il n’y avait pas de vérificateur indépendant pour détecter et rejeter un message falsifié. » La société a également ajouté que « LayerZero et d’autres parties externes avaient précédemment communiqué des meilleures pratiques concernant la diversification du DVN à Kelp DAO. » En conséquence, LayerZero a annoncé qu’elle ne signerait plus de messages pour les applications utilisant une configuration DVN 1/1.
Impact sur le secteur DeFi
L’exploitation a provoqué une onde de choc dans le secteur DeFi, après que l’attaquant a déplacé le rsETH volé vers Aave V3 et l’a utilisé comme garantie pour emprunter de grandes quantités de WETH. Cela a suscité des inquiétudes concernant une éventuelle mauvaise dette sur Aave, conduisant le protocole à geler les marchés rsETH sur V3 et V4. Le fondateur d’Aave, Stani Kulechov, a déclaré que « le rsETH a été gelé sur Aave V3 et V4 » et a ajouté que l’actif n’avait plus de pouvoir d’emprunt en raison de l’exploitation du pont Kelp DAO. Les données historiques d’Aavescan ont montré que plus de 10 milliards de dollars avaient quitté Aave après l’attaque, faisant chuter le total des fonds fournis à 35,7 milliards de dollars, contre 45,8 milliards de dollars auparavant.
Les retombées de cette attaque se sont étendues au-delà d’Aave. Plusieurs protocoles DeFi, y compris Ethena, ether.fi, Tron DAO et Curve Finance, ont mis en pause les ponts LayerZero OFT par précaution. Les données de DefiLlama ont révélé que la valeur totale verrouillée dans DeFi avait chuté de 7 % en 24 heures, atteignant environ 86,3 milliards de dollars, contre 99,5 milliards de dollars le 18 avril. LayerZero a affirmé qu’il n’y avait « aucune contagion » pour d’autres actifs ou applications utilisant des configurations multi-DVN, tandis que les efforts des forces de l’ordre pour tracer les fonds se poursuivent.
