Un exploit de 290 millions de dollars sur le pont inter-chaînes de KelpDAO le 18 avril, attribué par LayerZero au groupe Lazarus de la Corée du Nord, a envoyé des ondes de choc à travers la DeFi et a effacé plus de 13 milliards de dollars en valeur totale verrouillée sur les protocoles en 48 heures.
Les attaquants ont siphonné 116 500 rsETH, d'une valeur d'environ 290 millions de dollars, du pont inter-chaînes de KelpDAO alimenté par LayerZero le 18 avril, dans ce que CoinDesk a qualifié de plus grand exploit DeFi de 2026 à ce jour. LayerZero, dont l'infrastructure soutenait le pont, a déclaré lundi dans un communiqué que "des indicateurs préliminaires suggèrent une attribution à un acteur étatique hautement sophistiqué, probablement le groupe Lazarus de la RPDC".
L'attaque a fonctionné en compromettant deux nœuds d'appel de procédure à distance (RPC) sur lesquels le vérificateur de LayerZero s'appuyait pour confirmer les transactions inter-chaînes, puis en inondant les nœuds de sauvegarde avec du trafic indésirable pour forcer le basculement vers les points d'accès infectés. Une fois que le vérificateur a validé une transaction falsifiée, le pont a libéré 290 millions de dollars en rsETH vers une adresse contrôlée par l'attaquant. Le logiciel malveillant s'est ensuite autodétruit, effaçant les binaires et les journaux pour compliquer l'enquête médico-légale. Comme l'a rapporté crypto.news, l'exploit a déclenché des sorties de fonds de plus de 10 milliards de dollars pour Aave uniquement, la valeur totale verrouillée du protocole de prêt passant de 45,8 milliards de dollars à 35,7 milliards de dollars alors que les utilisateurs se précipitaient pour se retirer. UPI a rapporté que plus de 13 milliards de dollars ont été effacés de la valeur totale verrouillée sur les plateformes DeFi dans les deux jours suivant la brèche.
Une dispute a éclaté sur qui porte la responsabilité de la vulnérabilité qui a rendu l'attaque possible. LayerZero a déclaré que KelpDAO avait choisi d'opérer une configuration de réseau de vérificateurs décentralisés 1-sur-1, un point de défaillance unique contre lequel il avait averti à plusieurs reprises, et a annoncé qu'il ne signerait plus de messages pour aucune application utilisant cette configuration. KelpDAO a rétorqué, déclarant à CoinDesk que sa configuration suivait les valeurs par défaut documentées de LayerZero et que le validateur compromis faisait partie de l'infrastructure propre à LayerZero. Comme crypto.news l'a documenté, des chercheurs en sécurité indépendants, y compris un développeur de Yearn Finance, ont découvert que le code de déploiement public de LayerZero est livré avec des valeurs par défaut de vérification à source unique sur toutes les chaînes majeures, sapant l'affirmation de la firme selon laquelle KelpDAO aurait dévié de ses directives.
L'exploit de KelpDAO est la deuxième brèche majeure dans la DeFi liée à Lazarus rien qu'en avril, après l'attaque de 285 millions de dollars contre Drift Protocol le 1er avril, portant le butin total du groupe dans la DeFi pour le mois à plus de 575 millions de dollars. L'attaquant a depuis commencé à blanchir les fonds volés, acheminant les actifs via Arbitrum et vers des stablecoins basés sur Tron, comme l'a suivi crypto.news. Jefferies a averti que des piratages majeurs de cette ampleur pourraient temporairement freiner l'appétit de Wall Street pour les projets de tokenisation, les institutions réévaluant les risques de sécurité inhérents à l'infrastructure des ponts DeFi. LayerZero a déclaré avoir confirmé l'absence de contagion vers d'autres applications fonctionnant avec des configurations multi-vérificateurs, mais a forcé une migration à l'échelle du protocole pour abandonner les configurations à validateur unique.
LayerZero a déclaré travailler avec KelpDAO, la Security Alliance et les forces de l'ordre pour tracer les fonds volés, bien que l'utilisation d'outils de confidentialité par l'attaquant ait considérablement compliqué les efforts de récupération.
