La configuration d’un seul DVN a permis un exploit de 290 millions de dollars alors que les attaquants manipulaient les nœuds RPC et contournaient les garanties de vérification.
Un incident de sécurité majeur a drainé environ 290 millions de dollars du rsETH de KelpDAO, envoyant une onde de choc sur le marché de la cryptographie. Les résultats indiquent une opération hautement coordonnée, probablement liée au groupe Lazarus et à son sous-groupe TraderTraitor. LayerZero a maintenant détaillé comment la violation s’est déroulée, révélant le chemin d’attaque exact derrière l’exploit.
LayerZero confirme aucune violation de protocole dans l’exploit
La plateforme décentralisée LayerZero a divulgué de nouveaux détails sur l’attaque qui a conduit auExploitation de 290 millions de dollars du rsETH de KelpDAOle 18 avril 2026. Les premières conclusions indiquent une opération hautement coordonnée liée au groupe nord-coréen Lazarus, en particulier à son unité TraderTraitor.
Bien que l’incident ait suscité des inquiétudes dans l’ensemble du secteur inter-chaînes, LayerZero a souligné que les dégâts restaient contenus. Aucun autre actif ou application sur le protocole n’a été affecté.
Selon LayerZero, les attaquants n’ont pas violé le protocole lui-même ni son infrastructure principale. Au lieu de cela, ils ont ciblé les systèmes RPC en aval utilisés par le réseau de vérification décentralisé (DVN) de LayerZero Labs.
– LayerZero (@LayerZero_Core)20 avril 2026
En compromettant deux nœuds RPC indépendants, les attaquants ont remplacé les clés binaires et introduit un comportement malveillant conçu pour induire en erreur les processus de vérification.
L’accès à la liste RPC du DVN a permis aux attaquants d’exécuter une stratégie d’usurpation d’identité précise. Leurs nœuds modifiés envoyaient de fausses données de transaction exclusivement au DVN tout en présentant des données précises à tous les autres observateurs.
Par conséquent, les outils de surveillance internes n’ont détecté aucune incohérence pendant la fenêtre d’attaque. Une fois l’activité malveillante terminée, les nœuds modifiés ont effacé les traces en supprimant les journaux et en désactivant les systèmes compromis.
Même avec cet accès, les attaquants devaient toujours contourner les sauvegardes du système. Ils ont lancé une attaque DDoS sur les nœuds RPC sains, les mettant hors ligne. Cela a forcé le DVN à basculer vers les nœuds compromis. En conséquence, il a approuvé des transactions qui n’ont jamais eu lieu en chaîne.
Les forces de l’ordre se joignent à l’enquête sur l’exploit KelpDAO de 290 millions de dollars
LayerZero a précisé que son infrastructure DVN suit un modèle de confiance minimisé, combinant des fournisseurs RPC internes et externes. Cependant, l’application rsETH exploitée par KelpDAO reposait sur une seule configuration DVN. Cette configuration a créé un point de défaillance unique, permettant au faux message de passer sans vérification indépendante.
Les conseils de l’industrie de LayerZero ont toujours conseillé aux intégrateurs d’adopter des configurations multi-DVN. De telles configurations nécessitent un consensus entre plusieurs vérificateurs indépendants, réduisant ainsi le risque de compromission d’un seul composant. Dans ce cas, l’absence de redondance signifiait qu’aucun DVN supplémentaire ne pouvait contester les données falsifiées.
Malgré l’ampleur duexploiter, la blockchain a confirmé zéro contagion dans son écosystème. Un examen complet des intégrations a montré que toutes les autres applications ne sont pas affectées. La conception de sécurité modulaire a joué un rôle clé dans la limitation de l’incident sur le déploiement rsETH de KelpDAO.
De plus, le rapport inclut les mesures de sécurité internes de LayerZero. Les systèmes fonctionnent sous des contrôles d’accès stricts, une surveillance au niveau des appareils et des environnements segmentés.
Les fournisseurs de sécurité externes assurent une surveillance continue, tandis que l’entreprise est sur le point de terminer son audit SOC 2. Ces contrôles ont empêché les attaquants d’accéder au DVN lui-même, limitant ainsi la violation à une manipulation au niveau RPC.
Suite à l’incident, tous les nœuds RPC concernés ont été remplacés et le DVN de LayerZero Labs est à nouveau pleinement opérationnel. La société a également adopté une position ferme contre les configurations à DVN unique. Les applications utilisant de telles configurations ne recevront plus de support de vérification à l’avenir.
Les forces de l’ordre de plusieurs juridictions sont désormais impliquées dans l’enquête. LayerZero travaille aux côtés de partenaires et de groupes de sécurité, dont Seal911, pour retrouver et récupérer les fonds volés.
Source : Live Bitcoin News
Laisser un commentaire