Il y a presque trois semaines, l’exploitation du pont KelpDAO<\/strong> a d\u00e9but\u00e9 comme un \u00e9chec technique, mais elle est rapidement devenue un test plus large de la s\u00fbret\u00e9 inter-cha\u00eenes<\/strong>, des d\u00e9fauts de protocole et de la responsabilit\u00e9<\/strong> au sein de la finance d\u00e9centralis\u00e9e.<\/p>\n Le 18 avril<\/strong>, des attaquants, soup\u00e7onn\u00e9s d’\u00eatre li\u00e9s au groupe Lazarus<\/strong> de la Cor\u00e9e du Nord, ont exploit\u00e9 un pont de jetons fongibles omnicha\u00eenes aliment\u00e9 par LayerZero<\/strong>, connect\u00e9 \u00e0 l’rsETH de KelpDAO. L’attaque a drain\u00e9 environ 116 500 rsETH<\/strong>, avec des pertes signal\u00e9es proches de 292 millions de dollars<\/strong>.<\/p>\n Le probl\u00e8me central r\u00e9sidait dans une configuration de v\u00e9rificateur unique<\/strong>. Le pont de KelpDAO utilisait un r\u00e9seau de v\u00e9rificateurs d\u00e9centralis\u00e9s en configuration 1-of-1<\/strong>, ce qui signifie qu’un seul v\u00e9rificateur pouvait valider des activit\u00e9s inter-cha\u00eenes de grande valeur. Les critiques ont soulign\u00e9 que cette structure cr\u00e9ait un point de d\u00e9faillance unique<\/strong>.<\/p>\n LayerZero a ensuite affirm\u00e9 que son protocole lui-m\u00eame n’avait pas \u00e9t\u00e9 compromis. Dans une mise \u00e0 jour publique, l’\u00e9quipe a d\u00e9clar\u00e9 que les RPC internes<\/strong> utilis\u00e9s par le DVN<\/strong> de LayerZero Labs avaient \u00e9t\u00e9 attaqu\u00e9s par le groupe Lazarus, entra\u00eenant une \u00ab\u00a0source de v\u00e9rit\u00e9\u00a0\u00bb empoisonn\u00e9e, tandis que les fournisseurs de RPC externes subissaient des attaques DDoS<\/strong> simultan\u00e9ment.<\/p>\n LayerZero a ouvert sa mise \u00e0 jour par des excuses, reconnaissant qu’il avait mal communiqu\u00e9 pendant les trois semaines suivant l’exploitation.<\/p>\n<\/blockquote>\n La soci\u00e9t\u00e9 a pr\u00e9cis\u00e9 que l’incident avait affect\u00e9 une application, soit 0,14 %<\/strong> du total des applications, et environ 0,36 %<\/strong> de la valeur des actifs sur LayerZero. Elle a \u00e9galement indiqu\u00e9 que plus de 9 milliards de dollars<\/strong> avaient \u00e9t\u00e9 d\u00e9plac\u00e9s sur LayerZero apr\u00e8s le 19 avril sans que d’autres applications ne soient affect\u00e9es.<\/p>\n Cependant, LayerZero a reconnu une erreur cl\u00e9 : avoir permis \u00e0 son DVN de fonctionner comme un v\u00e9rificateur 1-of-1<\/strong> pour des transactions de grande valeur. L’\u00e9quipe a d\u00e9clar\u00e9 que les d\u00e9veloppeurs devraient choisir leurs propres param\u00e8tres de s\u00e9curit\u00e9, mais a admis que LayerZero Labs n’avait pas surveill\u00e9 de pr\u00e8s ce que son DVN s\u00e9curisait.<\/p>\n LayerZero a annonc\u00e9 qu’il ne fournirait plus de configurations DVN 1-of-1 et qu’il d\u00e9placerait les param\u00e8tres par d\u00e9faut vers une v\u00e9rification 5-of-5<\/strong> lorsque cela est possible, et pas moins de 3-of-3<\/strong> sur les cha\u00eenes o\u00f9 seulement trois DVNs sont disponibles.<\/p>\n KelpDAO s’est d\u00e9sormais \u00e9loign\u00e9 de LayerZero et a s\u00e9lectionn\u00e9 le protocole d’interop\u00e9rabilit\u00e9 inter-cha\u00eenes de Chainlink<\/strong>. Ce changement fait de KelpDAO l’un des premiers protocoles majeurs \u00e0 quitter LayerZero apr\u00e8s l’exploitation.<\/p>\n Par la suite, la migration s’est \u00e9tendue au-del\u00e0 de KelpDAO. L’analyste Tom Wan<\/strong> a not\u00e9 que des protocoles repr\u00e9sentant environ 2 milliards de dollars<\/strong> de TVL combin\u00e9 passent de LayerZero \u00e0 Chainlink CCIP. Cela inclut KelpDAO avec environ 1,5 milliard de dollars<\/strong>, SolvProtocol avec environ 600 millions de dollars<\/strong>, et re avec environ 200 millions de dollars<\/strong>.<\/p>\n Chainlink CCIP utilise des r\u00e9seaux d’oracles d\u00e9centralis\u00e9s qui n\u00e9cessitent au moins 16 op\u00e9rateurs de n\u0153uds ind\u00e9pendants<\/strong> pour valider les transactions inter-cha\u00eenes. KelpDAO a d\u00e9clar\u00e9 que ce changement r\u00e9pondait directement \u00e0 la faiblesse architecturale impliqu\u00e9e dans l’attaque. L’rsETH de KelpDAO adoptera \u00e9galement la norme de jeton inter-cha\u00eenes de Chainlink.<\/p>\n Chainlink a affirm\u00e9 que son infrastructure avait soutenu plus de 30 trillions de dollars<\/strong> en valeur de transactions inter-cha\u00eenes.<\/p>\n Apr\u00e8s l’exploitation, Aave, KelpDAO, LayerZero et d’autres participants ont form\u00e9 DeFi United<\/strong> pour aider \u00e0 restaurer le soutien de l’rsETH. LayerZero a contribu\u00e9 environ 10 000 ETH<\/strong>, y compris un don de 5 000 ETH<\/strong> et un pr\u00eat de 5 000 ETH<\/strong> \u00e0 Aave. L’effort de r\u00e9cup\u00e9ration a lev\u00e9 plus de 300 millions de dollars<\/strong> en crypto.<\/p>\n La r\u00e9cup\u00e9ration est devenue plus compliqu\u00e9e apr\u00e8s que le Conseil de s\u00e9curit\u00e9 d’Arbitrum a gel\u00e9 30 766 ETH<\/strong> li\u00e9s \u00e0 l’exploitation. Les plaignants ayant des revendications li\u00e9es au terrorisme contre la Cor\u00e9e du Nord ont ensuite cherch\u00e9 \u00e0 saisir ces fonds, arguant qu’ils pourraient \u00eatre li\u00e9s au groupe Lazarus. Aave a d\u00e9pos\u00e9 une motion d’urgence demandant la lib\u00e9ration des fonds pour les utilisateurs affect\u00e9s.<\/p>\n LayerZero a \u00e9galement abord\u00e9 un probl\u00e8me interne distinct impliquant un signataire multisig<\/strong>. La soci\u00e9t\u00e9 a d\u00e9clar\u00e9 qu’il y a trois ans et demi, un signataire avait utilis\u00e9 un portefeuille mat\u00e9riel multisig pour un \u00e9change personnel par erreur. LayerZero a pr\u00e9cis\u00e9 que le signataire avait \u00e9t\u00e9 retir\u00e9, que les portefeuilles avaient \u00e9t\u00e9 tourn\u00e9s et que les pratiques de signature avaient \u00e9t\u00e9 modifi\u00e9es.<\/p>\n La soci\u00e9t\u00e9 a annonc\u00e9 avoir construit OneSig<\/strong>, un syst\u00e8me multisig personnalis\u00e9 con\u00e7u pour am\u00e9liorer la s\u00e9curit\u00e9 des signatures sur les cha\u00eenes prises en charge. Elle pr\u00e9voit \u00e9galement d’augmenter son seuil multisig de 3-of-5<\/strong> \u00e0 7-of-10<\/strong>, o\u00f9 OneSig est disponible.<\/p>\n LayerZero d\u00e9veloppe \u00e9galement Console<\/strong>, une plateforme pour les \u00e9metteurs afin de configurer, d\u00e9ployer et g\u00e9rer l’\u00e9mission et la s\u00e9curit\u00e9 des actifs. Console devrait inclure des alertes pour les DVNs inconnus, les param\u00e8tres non s\u00e9curis\u00e9s, les changements de propri\u00e9t\u00e9, les changements de confirmation de bloc et l’utilisation de param\u00e8tres par d\u00e9faut.<\/p>\n L’exploitation a d\u00e9sormais d\u00e9pass\u00e9 un simple \u00e9chec de pont. Elle est devenue une histoire sur les d\u00e9fauts des d\u00e9veloppeurs<\/strong>, la conception des v\u00e9rificateurs<\/strong>, la s\u00fbret\u00e9 des RPC<\/strong>, les efforts de r\u00e9cup\u00e9ration DAO<\/strong>, et sur la capacit\u00e9 des syst\u00e8mes inter-cha\u00eenes \u00e0 prot\u00e9ger des actifs de grande valeur sans s’appuyer sur des hypoth\u00e8ses cach\u00e9es ou faibles<\/em>.<\/p>\n","protected":false},"excerpt":{"rendered":" Introduction Il y a presque trois semaines, l’exploitation du pont KelpDAO a d\u00e9but\u00e9 comme un \u00e9chec technique, mais elle est rapidement devenue un test plus large de la s\u00fbret\u00e9 inter-cha\u00eenes, des d\u00e9fauts de protocole et de la responsabilit\u00e9 au sein de la finance d\u00e9centralis\u00e9e. D\u00e9tails de l’attaque Le 18 avril, des attaquants, soup\u00e7onn\u00e9s d’\u00eatre li\u00e9s au groupe Lazarus de la Cor\u00e9e du Nord, ont exploit\u00e9 un pont de jetons fongibles omnicha\u00eenes aliment\u00e9 par LayerZero, connect\u00e9 \u00e0 l’rsETH de KelpDAO. L’attaque a drain\u00e9 environ 116 500 rsETH, avec des pertes signal\u00e9es proches de 292 millions de dollars. Le probl\u00e8me central r\u00e9sidait<\/p>\n","protected":false},"author":3,"featured_media":15275,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[166,169,9820,13,65,10076,1516,71,72,10051],"class_list":["post-15276","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-aave","tag-chainlink","tag-cross-chain-interoperability-protocol","tag-ethereum","tag-hack","tag-kelpdao","tag-layerzero","tag-lazarus","tag-north-korea","tag-rseth"],"yoast_description":"D\u00e9couvrez l'exploitation du pont KelpDAO li\u00e9e au groupe Lazarus, qui met en lumi\u00e8re des failles de s\u00e9curit\u00e9 inter-cha\u00eenes et le passage au CCIP de Chainlink pour une meilleure protection.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/15276","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/comments?post=15276"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/15276\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media\/15275"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media?parent=15276"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/categories?post=15276"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/tags?post=15276"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}D\u00e9tails de l’attaque<\/h2>\n
R\u00e9actions de LayerZero<\/h2>\n
\n
Changements et migrations<\/h2>\n
R\u00e9ponses \u00e0 l’attaque<\/h2>\n
Efforts de r\u00e9cup\u00e9ration<\/h2>\n
Probl\u00e8mes internes et am\u00e9liorations<\/h2>\n
Conclusion<\/h2>\n