LayerZero fait face à de vives critiques pour sa réponse au récent exploit KelpDAO de 290 millions de dollars après que le protocole d’interopérabilité omnichain a blâmé la configuration du vérificateur 1 sur 1 de Kelp pour l’incident.
Lecture connexe
LayerZero accuse KelpDAO d’avoir exploité un exploit de 290 millions de dollars
Au cours du week-end, le protocole de récupération de liquide KelpDAO a été victime d’une attaque qui a drainé plus de 290 millions de dollars de rsETH du projet après que des acteurs malveillants ont exploité une faiblesse du pont alimenté par LayerZero du protocole.
Deux jours plus tard, LayerZero a abordé l’incident, qui est devenu le plus grand piratage DeFi de 2026, quelques semaines seulement après que l’exploit Drift Protocol de 285 millions de dollars ait choqué l’industrie.
LayerZero a attribué « l’attaque hautement sophistiquée » au groupe nord-coréen Lazarus, déclarant qu’il s’agissait d’une attaque contre l’infrastructure cryptographique plutôt que d’un exploit de protocole, et déclarant qu’« il n’y a aucune contagion à d’autres actifs ou applications inter-chaînes ».
L’autopsie de LayerZero. Source : X
Ils ont expliqué que le protocole est basé sur une « base de sécurité modulaire configurable par l’application », utilisant des réseaux de vérification décentralisés (DVN), des entités indépendantes chargées de vérifier l’intégrité des messages inter-chaînes.
Des acteurs malveillants auraient empoisonné l’infrastructure RPC en aval en « compromettant le quorum des RPC sur lesquels LayerZero Labs DVN s’appuyait pour vérifier les transactions ».
Selon le message, les attaquants ont échangé des fichiers binaires contre une charge utile personnalisée pour falsifier des messages et ont utilisé des attaques DDoS pour forcer le basculement sur les nœuds empoisonnés, ce qui a amené le DVN à commettre de fausses transactions.
Sur cette base, LayerZero a tenu KelpDAO responsable de l’utilisation d’une configuration de vérificateur 1 sur 1 au lieu de plusieurs recommandations DVN : “Cet incident a été complètement isolé de la configuration rsETH de KelpDAO en conséquence directe de sa configuration DVN unique.”
La communauté crypto critique le « manque de responsabilité »
La communauté cryptographique a réagi à l’autopsie, partageant ses inquiétudes concernant la réponse de LayerZero et critiquant le protocole pour avoir placé toute la responsabilité uniquement sur la configuration de sécurité de Kelp.
“Imaginez construire un pont et les véhicules paient pour le traverser, le pont s’est effondré et vous avez dit que c’était de votre faute si vous traversiez le pont. Un numéro de clown classique par un groupe de clowns sans aucune responsabilité”, a écrit l’utilisateur de X Saint.
D’autres se sont demandé pourquoi LayerZero incluait une configuration « 1 sur 1 » si l’objectif d’un DVN est une sécurité personnalisable/modulaire. “Si le système permet cette option, ce n’est pas la faute du client qui l’a choisie ; c’est un défaut de conception fondamental du système qui l’a permis”, a écrit l’utilisateur Ditto.
“En fin de compte, le fait est que DVN RPC a été compromis. DVN est un produit LayerZero, et ce sont eux qui l’ont vendu à ces équipes”, a-t-il poursuivi.
De même, le responsable de la communauté Chainlink, Zach Rynes, a accusé le protocole de détourner la responsabilité de la compromission de son propre nœud DVN.
Il les a également critiqués pour avoir « jeté KelpDAO sous le bus » en s’appuyant sur la configuration de LayerZero Labs qu’ils « ont volontairement soutenu et bloqué seulement après avoir été piraté, tout en affirmant que tout fonctionnait comme prévu ».
Pendant ce temps, Artem K, développeur de l’équipe principale de Yearn Finance, a noté sur X que l’attaque était décrite comme une compromission de nœud RPC et un empoisonnement RPC, mais que c’était leur propre infrastructure qui avait été compromise. “Comme il n’est pas précisé comment la brèche s’est produite, je ne me précipiterais pas pour réactiver les ponts”, a-t-il ajouté.
Mauvais diagnostic, mauvaise solution ?
L’analyste The Smart Ape affirme également que LayerZero a posé un mauvais diagnostic et proposé la mauvaise solution. En particulier, l’autopsie du protocole a suggéré de migrer toutes les applications avec des configurations DVN 1 sur 1 vers des configurations multi-DVN pour éviter des attaques similaires.
Cependant, l’analyste a noté que les multi-vérificateurs n’arrêteront pas la prochaine attaque de plusieurs milliards de dollars, affirmant qu’ils pourraient échouer car tous les DVN lisent les états de la chaîne de la même poignée de fournisseurs RPC, qui sont pour la plupart regroupés dans AWS ou GCP.
Si cinq DVN « indépendants » lisent à partir des trois mêmes fournisseurs RPC, un attaquant qui empoisonne ces trois RPC empoisonnera simultanément les cinq vérificateurs. “Si tous les vérificateurs sont trompés de la même manière au même moment, le calcul revient à 1 sur 1. Cinq clones ne sont pas cinq témoins”, a-t-il ajouté.
Lecture connexe
Pour résoudre ce problème, l’analyste a suggéré que chaque vérificateur exécute son propre nœud complet sur différents logiciels clients, hébergés sur différents fournisseurs de cloud, gérés par différentes équipes opérationnelles, associés à différents sous-ensembles du réseau Ethereum.
“La solution n’est pas multi-rien. La solution est que les vérificateurs doivent attester de leur propre substrat, pas seulement de l’état de la chaîne. Jusqu’à ce que vous puissiez auditer la topologie en amont d’un DVN, quels fournisseurs RPC, quel logiciel client, quels cloud, quelles régions, ‘M-of-N sécurisé’ est une copie marketing pour une propriété qui n’a pas réellement été construite. Lazarus n’a pas cassé la crypto le 18 avril. Ils ont cassé trois serveurs”, a-t-il conclu.
La capitalisation boursière totale de la cryptographie est de 2,54 billions de dollars sur le graphique d’une semaine. Source : TOTAL sur TradingView
Image en vedette de Unsplash.com, graphique de TradingView.com
