KelpDAO migre son pont inter-chaînes rsETH de LayerZero vers le protocole d'interopérabilité inter-chaînes (CCIP) de Chainlink après qu'une exploitation de 292 millions de dollars a vidé ses réserves. Ce mouvement abandonne le standard OFT de LayerZero au profit du modèle de validation plus décentralisé de Chainlink.
« La migration de KelpDAO vers le CCIP de Chainlink répond directement à la vulnérabilité architecturale au cœur de l'exploitation », a déclaré le protocole dans son annonce, soulignant un changement fondamental dans sa posture de sécurité suite à l'un des plus grands échecs de sécurité de la DeFi cette année.
L'exploitation du 18 avril a vu un attaquant, préliminairement lié au groupe Lazarus de Corée du Nord, drainer environ 116 500 rsETH en compromettant la configuration de sécurité du pont. Selon Chainalysis, l'attaque a compromis l'infrastructure hors chaîne, permettant au pirate de tromper le vérificateur pour qu'il libère des fonds contre des transactions inexistantes. Le différend porte sur la configuration du réseau de vérificateurs décentralisés (DVN) en 1-sur-1, qui a créé un point de défaillance unique.
L'incident souligne les risques systémiques dans l'architecture des ponts inter-chaînes, qui restent une cible privilégiée pour les pirates dans l'espace des actifs numériques. La migration publique de KelpDAO vers un concurrent met une pression intense sur LayerZero et sert d'étude de cas critique pour les protocoles évaluant les compromis d'infrastructure entre sécurité et simplicité.
Ce qui n'a pas fonctionné
Le cœur de la vulnérabilité résidait dans l'utilisation par KelpDAO d'une configuration DVN unique, où seul LayerZero Labs était requis pour vérifier les transactions. Le rapport post-mortem de LayerZero a déclaré que cette configuration « contredit directement » son modèle multi-DVN recommandé. Cependant, KelpDAO a répliqué en publiant une note intitulée « Rétablir la vérité », alléguant que le personnel de LayerZero était au courant de la configuration et l'avait approuvée.
KelpDAO a présenté des captures d'écran de conversations et a pointé du doigt la documentation des développeurs de LayerZero et des exemples GitHub, qui montreraient prétendument une configuration à DVN unique par défaut. Les données de Dune Analytics citées par CoinGecko ont soutenu cette affirmation, montrant que 47 % des applications LayerZero actives, représentant plus de 4,5 milliards de dollars en valeur, utilisaient une configuration similaire en 1-sur-1 à l'époque.
Depuis, LayerZero a banni les configurations à vérificateur unique, affirmant que le protocole lui-même a « fonctionné exactement comme prévu » et que Kelp avait « manuellement rétrogradé vers un 1/1 ». Le fournisseur d'infrastructure a également noté qu'un chercheur en sécurité, Sujith Somraaj, avait précédemment soumis un rapport de prime aux bogues sur le même vecteur d'attaque, que LayerZero avait rejeté comme étant une mauvaise configuration au niveau de l'application et donc hors de portée.
Le passage à Chainlink
En réponse, KelpDAO ne change pas seulement de fournisseur d'infrastructure, mais adopte également le standard de jeton inter-chaînes de Chainlink pour le rsETH. Le cadre CCIP de Chainlink remplace le modèle à vérificateur unique par un réseau décentralisé d'au plus 16 opérateurs de nœuds indépendants, atténuant considérablement le risque d'un point de défaillance unique.
Les retombées de l'exploitation se sont propagées à travers l'écosystème DeFi sur Ethereum, car l'attaquant a déposé les rsETH volés comme garantie dans des marchés de prêt comme Aave, empruntant environ 236 millions de dollars dans d'autres actifs. Cela a forcé Aave à geler plusieurs marchés pour éviter un stress de liquidité supplémentaire. Suite à cela, une initiative « DeFi United », avec des contributions de LayerZero, a levé plus de 300 millions de dollars pour aider à restaurer la couverture du rsETH.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
