Points clés :
Le protocole de messagerie cross-chain LayerZero a publiquement admis sa faute pour une faille de sécurité critique ayant permis l'exploit de 292 millions de dollars de Kelp DAO en avril, s'engageant à une refonte de la sécurité à l'échelle du réseau.
Dans un post-mortem détaillé, les dirigeants de LayerZero ont assumé l'entière responsabilité d'avoir laissé une application de grande valeur fonctionner avec une configuration à vérificateur unique, une installation qui créait un point de défaillance unique. « Nous n'avons pas surveillé ce que notre DVN sécurisait, ce qui a créé un risque que nous n'avons tout simplement pas vu », a déclaré la société, marquant un revirement significatif par rapport à ses communications initiales.
L'attaque du 18 avril, largement attribuée au groupe Lazarus de Corée du Nord, reste la plus grande brèche de sécurité DeFi de 2026. Bien que le protocole de base de LayerZero n'ait pas été compromis, les attaquants ont empoisonné la source de données utilisée par le propre réseau de vérificateurs décentralisés (DVN) de LayerZero Labs. Cela a permis le vol de 117 132 rsETH de Kelp DAO, dont une partie a ensuite été utilisée comme garantie sur le protocole de prêt Aave, créant une créance douteuse d'environ 190 millions de dollars.
Les retombées de l'incident forcent une réévaluation plus large de l'industrie sur la sécurité des ponts cross-chain et les compromis entre l'autonomie des développeurs et les sauvegardes au niveau du protocole. En conséquence directe, Kelp DAO a annoncé sa migration de LayerZero vers le protocole d'interopérabilité cross-chain (CCIP) de Chainlink et a commencé à redémarrer les retraits de rsETH après les premières étapes de récupération coordonnées avec Aave.
LayerZero a immédiatement agi pour éliminer la vulnérabilité dans son écosystème. La firme a annoncé que son DVN ne supporterait plus les configurations 1-sur-1 pour aucun projet. Les configurations par défaut sont en cours de mise à niveau pour exiger plusieurs vérificateurs — idéalement cinq, ou un minimum de trois là où les options sont limitées.
Kelp DAO a confirmé avoir déjà mis à jour ses paramètres de pontage LayerZero restants pour exiger quatre attestateurs indépendants et a augmenté les confirmations de blocs de 42 à 64.
L'attaque a également stimulé un effort de récupération plus large. Aave a pris la tête d'une initiative appelée DeFi United, qui a collecté plus de 300 millions de dollars en ETH pour soutenir les protocoles concernés. Cependant, des défis juridiques ont compliqué l'utilisation de certains fonds récupérés, car un tribunal américain a imposé des restrictions sur 72 millions de dollars d'ETH gelés sur le réseau Arbitrum liés à l'attaquant.
LayerZero a déclaré qu'en dépit de l'incident, plus de 9 milliards de dollars de valeur ont été transférés via le protocole depuis la mi-avril sans problème. La société déploie actuellement de nouveaux outils, notamment un client DVN basé sur Rust et une plateforme Console améliorée, pour aider les projets à gérer les configurations et à détecter les anomalies, dans le but de restaurer la confiance en imposant des normes plus strictes et plus sûres par défaut.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
