LayerZero a présenté des excuses publiques vendredi concernant sa gestion des conséquences de l'exploit du 18 avril, qui a siphonné environ 292 millions de dollars en rsETH du pont inter-chaînes de Kelp DAO, marquant un changement de ton notable par rapport à son précédent rapport post-mortem qui caractérisait le protocole comme ayant "fonctionné exactement comme prévu".
"Nous avons fait un travail épouvantable en matière de communication au cours des trois dernières semaines", a écrit LayerZero dans le billet de blog, également publié sur X. "Nous voulions privilégier l'exhaustivité sous la forme d'un rapport post-mortem complet, mais nous aurions dû faire preuve de plus de franchise."
Le protocole a déclaré que ses nœuds RPC internes, sur lesquels son Réseau de Vérificateurs Décentralisés (DVN) s'appuyait pour lire l'état de la chaîne source, avaient été compromis par le groupe Lazarus de Corée du Nord. Les attaquants ont empoisonné les flux de données de ces nœuds tout en lançant simultanément une attaque DDoS contre les fournisseurs RPC externes de LayerZero, forçant le DVN à basculer vers une infrastructure compromise et à approuver des transactions qui n'avaient jamais eu lieu. LayerZero avait précédemment attribué l'attaque au sous-groupe Lazarus connu sous le nom de TraderTraitor.
Le billet a reconnu un point auquel LayerZero avait précédemment résisté : il n'aurait pas dû permettre à son DVN de servir de seul vérificateur pour les transactions de grande valeur. "Nous pensons que les développeurs devraient choisir leurs propres configurations de sécurité, mais nous avons commis une erreur en permettant à notre DVN d'agir comme un DVN 1/1 pour les transactions de grande valeur", a écrit la société. "Nous n'avons pas surveillé ce que notre DVN sécurisait, ce qui a créé un risque que nous n'avions tout simplement pas vu."
Cette formulation représente une concession significative. La déclaration initiale de LayerZero sur l'incident avait placé la faute directement sur les choix de configuration de Kelp DAO, décrivant la configuration DVN 1 sur 1 comme une décision prise par Kelp à l'encontre des recommandations.
Kelp DAO a publiquement contesté cette version, en citant la propre documentation de LayerZero, ses guides de démarrage rapide et ses exemples pour développeurs comme preuve que la configuration à vérificateur unique était la recommandation par défaut de la plateforme pour l'intégration. Une analyse Dune citée par Kelp a révélé que 47 % des quelque 2 665 contrats OApp LayerZero actifs utilisaient la même configuration au moment de l'attaque.
LayerZero a déclaré que l'exploit avait affecté une seule application, représentant environ 0,14 % du total des applications sur le réseau et environ 0,36 % de la valeur des actifs utilisant LayerZero. Il a ajouté que plus de 9 milliards de dollars ont transité via le protocole depuis le 19 avril.
Le billet de blog a également révélé un incident de sécurité opérationnelle non signalé auparavant. Il y a environ trois ans et demi, l'un des signataires multisig de LayerZero a utilisé son portefeuille matériel de production pour exécuter une transaction personnelle, ayant l'intention d'utiliser un appareil personnel distinct. LayerZero a déclaré que le signataire avait été retiré du multisig, que les portefeuilles avaient été renouvelés et que la société avait depuis ajouté un logiciel de détection d'anomalies à chaque appareil de signature.
Cette divulgation survient au milieu d'un examen minutieux distinct et continu de la sécurité opérationnelle des signataires multisig de LayerZero. Des chercheurs on-chain et des personnalités de la sécurité, y compris le responsable de la communauté Chainlink, Zach Rynes, avaient signalé des preuves que des clés multisig de production avaient été utilisées pour des activités DEX non liées, y compris ce qui semblait être un échange de la memecoin McPepes sur Uniswap. Le PDG de LayerZero, Bryan Pellegrino, a déclaré que les transactions étaient des tests OFT effectués par d'anciens signataires qui ont depuis été supprimés.
LayerZero a exposé une série de changements qu'il a apportés depuis l'exploit. Le DVN de LayerZero Labs ne prend plus en charge les configurations DVN 1/1. Les paramètres par défaut sur toutes les voies sont en cours de migration pour exiger au moins cinq vérificateurs lorsque cela est possible, avec un minimum de trois sur les chaînes où seulement trois DVN sont disponibles. La société développe également un deuxième client DVN écrit en Rust pour la diversité des clients et a reconfiguré sa configuration RPC pour permettre des contrôles de quorum plus granulaires entre les fournisseurs de nœuds internes et externes.
Du côté de l'infrastructure, LayerZero a déclaré qu'il prévoyait d'augmenter son propre seuil multisig de 3 sur 5 à 7 sur 10 en utilisant OneSig, un outil multisig open-source que la société a introduit l'année dernière. OneSig permet aux signataires de télécharger les transactions et de les hacher localement avant de signer, empêchant le backend d'insérer des transactions non autorisées. LayerZero a également déclaré qu'il développait une plateforme appelée Console pour permettre aux émetteurs d'actifs de configurer et de surveiller les paramètres de sécurité, avec une détection d'anomalies intégrée pour signaler les configurations risquées.
Ces excuses surviennent à un moment difficile pour LayerZero. Deux protocoles majeurs ont migré leur infrastructure inter-chaînes vers le CCIP de Chainlink au cours des semaines suivant l'exploit. Kelp DAO a annoncé son départ plus tôt cette semaine, devenant le premier protocole majeur à quitter LayerZero depuis le piratage. Solv Protocol a suivi, annonçant qu'il déplacerait plus de 700 millions de dollars de bitcoins tokenisés hors de LayerZero, citant des préoccupations de sécurité.
Pendant ce temps, l'initiative de récupération DeFi United, formée à la suite de l'exploit, a levé plus de 300 millions de dollars en ETH et stablecoins. LayerZero a contribué 10 000 ETH, répartis entre un don de 5 000 ETH et un prêt de 5 000 ETH à Aave, qui fait face à une dette estimée entre 124 et 230 millions de dollars due à l'incident. La DAO Arbitrum a voté pour libérer 30 766 ETH gelés pour l'effort de récupération, et un juge a autorisé vendredi le transfert à se poursuivre malgré un avis de restriction émis par les victimes du terrorisme et les créanciers de Corée du Nord.
LayerZero a déclaré qu'un rapport post-mortem officiel suivra une fois que ses partenaires de sécurité externes auront terminé leurs travaux.
Avertissement : The Block est un média indépendant qui fournit des nouvelles, des recherches et des données. Depuis novembre 2023, Foresight Ventures est un investisseur majoritaire de The Block. Foresight Ventures investit dans d'autres sociétés de l'espace crypto. L'échange de crypto Bitget est un LP ancré pour Foresight Ventures. The Block continue d'opérer indépendamment pour fournir des informations objectives, percutantes et opportunes sur l'industrie de la crypto. Voici nos divulgations financières actuelles.
© 2026 The Block. Tous droits réservés. Cet article est fourni à titre informatif uniquement. Il n'est pas offert ni destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
