LayerZero a déclaré que le groupe Lazarus de la Corée du Nord est l'acteur probable derrière l'exploit de Kelp DAO qui a siphonné 116 500 rsETH, d'une valeur d'environ 292 millions de dollars.
La société a déclaré que les premiers indicateurs pointent vers un "acteur étatique très sophistiqué" et a nommé le "Groupe Lazarus de la RPDC, plus précisément TraderTraitor" dans sa dernière déclaration.
L'attaque a eu lieu le 18 avril et est rapidement devenue le plus grand exploit DeFi rapporté cette année. LayerZero a déclaré que l'attaquant a ciblé le système utilisé pour vérifier les messages inter-chaînes, ce qui a permis à un faux message de passer et de déverrouiller des jetons sur le pont.
LayerZero a déclaré que l'attaquant a eu accès à la liste des nœuds RPC utilisés par le réseau vérifié décentralisé de LayerZero Labs, ou DVN. Selon la société, l'attaquant a ensuite corrompu deux de ces nœuds afin qu'ils délivrent un faux message inter-chaînes au réseau de vérification.
Dans le même temps, l'attaquant a lancé une attaque DDoS contre les nœuds sains, ce qui a poussé le DVN à s'appuyer sur les nœuds corrompus. LayerZero a déclaré que cette combinaison a permis au message falsifié de traverser le système et de déclencher le déverrouillage des jetons qui a conduit à la perte.
De plus, LayerZero a déclaré que les dommages sont devenus possibles parce que Kelp DAO utilisait une configuration DVN 1 sur 1 unique sans vérificateur de sauvegarde. La société a déclaré que cela a créé un point de défaillance unique, ne laissant aucun contrôle indépendant pour rejeter le faux message avant que le pont ne libère les fonds.
Dans sa déclaration, LayerZero a indiqué que "le fait d'opérer une configuration avec un point de défaillance unique signifiait qu'il n'y avait pas de vérificateur indépendant pour détecter et rejeter un message falsifié." La société a également déclaré que "LayerZero et d'autres parties externes avaient précédemment communiqué les meilleures pratiques concernant la diversification des DVN à KelpDAO." La société a ajouté qu'elle ne signera plus de messages pour les applications utilisant une configuration DVN 1/1.
L'exploit a semé la panique dans la DeFi après que l'attaquant ait déplacé les rsETH volés vers Aave V3 et les ait utilisés comme garantie pour emprunter de grandes quantités de WETH. Cela a soulevé des inquiétudes concernant d'éventuelles dettes irrécouvrables sur Aave et a conduit le protocole à geler les marchés rsETH sur les versions V3 et V4.
Stani Kulechov, fondateur d'Aave, a déclaré que "RsETH a été gelé sur Aave V3 et V4" et a ajouté que l'actif n'a plus de pouvoir d'emprunt en raison de l'exploit du pont Kelp DAO. Les données historiques d'Aavescan ont montré que plus de 10 milliards de dollars ont quitté Aave après l'attaque, les fonds totaux fournis chutant de 45,8 milliards de dollars à 35,7 milliards de dollars.
Les retombées se sont étendues au-delà d'Aave. Plusieurs protocoles DeFi, dont Ethena, ether.fi, Tron DAO et Curve Finance, ont mis en pause les ponts OFT LayerZero par précaution.
Les données de DefiLlama ont montré que la valeur totale verrouillée (TVL) de la DeFi a chuté de 7 % en 24 heures pour atteindre environ 86,3 milliards de dollars, contre 99,5 milliards de dollars le 18 avril. LayerZero a déclaré qu'il n'y a "aucune contagion" pour les autres actifs ou applications utilisant des configurations multi-DVN, tandis que les efforts des forces de l'ordre pour retrouver les fonds se poursuivent.
