L'exploit qui a siphonné environ 292 millions de dollars du pont inter-chaînes de KelpDAO au cours du week-end était "probablement" l'œuvre du groupe nord-coréen Lazarus, plus précisément de sa sous-unité TraderTraitor, a déclaré LayerZero dans une analyse préliminaire lundi.
Les attaquants ont drainé 116 500 rsETH, un jeton de ré-engagement liquide adossé à de l'ether mis en jeu, du pont KelpDAO samedi, déclenchant des retraits à travers le secteur de la finance décentralisée qui ont retiré plus de 10 milliards de dollars du protocole de prêt Aave.
L'attaque portait les marques d'un « acteur étatique hautement sophistiqué, probablement le groupe Lazarus de la RPDC », a déclaré LayerZero, précisant la sous-unité TraderTraitor du groupe.
Les opérations cybernétiques de la Corée du Nord sont menées sous l'égide du Bureau général de reconnaissance, qui abrite plusieurs unités distinctes, notamment TraderTraitor, AppleJeus, APT38 et DangerousPassword, selon une analyse du chercheur Samczsun de Paradigm.
https://t.co/3vIHs3Xgs4
— LayerZero (@LayerZero_Core) April 20, 2026
Parmi ces sous-unités, TraderTraitor a été désignée comme l'acteur le plus sophistiqué de la RPDC ciblant la crypto, précédemment lié aux compromissions des ponts Ronin d'Axie Infinity et WazirX.
LayerZero a déclaré que KelpDAO avait utilisé un seul vérificateur pour approuver les transferts entrants et sortants du pont, ajoutant qu'il avait à plusieurs reprises exhorté KelpDAO à utiliser plusieurs vérificateurs.
À l'avenir, LayerZero a déclaré qu'il cesserait d'approuver les messages pour toute application fonctionnant encore avec cette configuration.
Les observateurs affirment que l'exploit a exposé la façon dont le pont a été construit pour faire confiance à un seul vérificateur.
C'était « un point de défaillance unique, peu importe ce que le marketing en dit », a déclaré Shalev Keren, co-fondateur de l'entreprise de sécurité cryptographique Sodot, à Decrypt.
Un seul point de contrôle compromis a suffi pour permettre aux fonds de quitter le pont, et aucun audit ou examen de sécurité n'aurait pu corriger cette faille sans « supprimer la confiance unilatérale de l'architecture elle-même », a déclaré Keren.
Ce point de vue a été repris par Haoze Qiu, Responsable Blockchain chez Grvt, qui a soutenu que, "Kelp DAO semble avoir accepté une configuration de sécurité de pont avec trop peu de redondance pour un actif de cette envergure", ajoutant que LayerZero "a également une part de responsabilité" étant donné que "la compromission impliquait une infrastructure liée à sa pile de validateurs, même si cela n'a pas été décrit comme un bug du protocole principal."
Les attaquants sont passés à trois minutes de siphonner 100 millions de dollars supplémentaires avant qu'une mise sur liste noire rapide ne les coupe, selon une analyse de l'entreprise de sécurité blockchain Cyvers. L'opération était basée sur le fait de tromper un seul canal de communication, a déclaré Meir Dolev, CTO de Cyvers, à Decrypt.
Les attaquants ont exploité deux des lignes utilisées par le vérificateur pour vérifier si un retrait s'était réellement produit sur Unichain, lui ont fourni un faux « oui » sur ces lignes, puis ont mis les lignes restantes hors ligne pour forcer le vérificateur à se fier aux lignes compromises.
« Le coffre-fort était intact. Le garde était honnête. Le mécanisme de la porte fonctionnait correctement », a déclaré Dolev. « Le mensonge a été murmuré directement à la seule partie dont la parole ouvrait la porte. »
Mais tandis que LayerZero, dont l'infrastructure alimentait le pont piraté, a désigné Lazarus comme le coupable probable, Cyvers n'a pas fait la même attribution dans sa propre analyse.
Certains schémas correspondent aux opérations liées à la RPDC en termes de sophistication, d'échelle et d'exécution coordonnée, a déclaré Dolev, mais aucun regroupement de portefeuilles lié au groupe n'a été confirmé.
Le logiciel de nœud malveillant a été conçu pour s'effacer une fois l'attaque terminée, effaçant les binaires et les journaux pour masquer la trace des attaquants en temps réel et lors du post-mortem, a-t-il ajouté.
Plus tôt ce mois-ci, des attaquants ont siphonné environ 285 millions de dollars du protocole de perpétuels basé sur Solana, Drift, dans un exploit attribué plus tard à des agents nord-coréens.
Dolev a noté que le piratage de Drift était « très différent en termes de préparatifs et d'exécution », mais que les deux attaques ont nécessité de longs délais de préparation, une expertise approfondie et des ressources importantes pour être menées à bien.
Cyvers soupçonne que les fonds volés ont été transférés à cette adresse Ethereum, ce qui correspond à un rapport distinct de l'enquêteur on-chain ZachXBT qui l'a signalée aux côtés de quatre autres. Les adresses d'attaque ont été financées via le mixeur de pièces Tornado Cash, selon ZachXBT.
