Analyste chez Certik : la faille de sécurité de KelpDAO met en lumière une évolution majeure de la cybercriminalité inter-chaînes

• Le Conseil de sécurité d'Arbitrum et SEAL 911 ont gelé 30 766 ETH le 18 avril afin d'atténuer les conséquences du vol de Kelp DAO.
• L'analyste de Certik, Wenzhao Dong, met en garde contre le fait que les vols sur les ponts créent désormais des créances irrécouvrables systémiques pour des plateformes telles qu'Aave.
• Kelp DAO vise à rétablir l'ancrage du rsETH et à récupérer les 220 millions de dollars restants d'actifs numériques manquants.

Sécurité contre souveraineté

L'intervention rapide du Conseil de sécurité d'Arbitrum (ASC) visant à geler 30 766 ETH a ravivé l'un des débats les plus fondamentaux de la blockchain : la tension entre décentralisation immuable et gouvernance pragmatique.

Si la récupération de 71 millions de dollars en ETH constitue une victoire évidente pour les victimes, cette méthode a divisé la communauté en deux camps distincts. D'un côté, les puristes affirment que la capacité de l'ASC à geler unilatéralement des actifs constitue une « pente glissante » vers les systèmes financiers centralisés que la cryptomonnaie était censée remplacer. Ils soutiennent que si un conseil peut censurer un pirate informatique aujourd’hui, il pourrait être contraint de censurer un dissident politique ou une entreprise légale demain. Pour ce groupe, l’intervention « humaine » constitue une vulnérabilité systémique qui sape la promesse fondamentale de la confiance sans tiers.

D'autre part, les pragmatiques considèrent la décentralisation absolue comme un objectif à atteindre plutôt qu'une exigence dès le départ. Ils soutiennent que pour que la finance décentralisée (DeFi) soit adoptée par le grand public, elle doit disposer de « coupe-circuits » afin d'atténuer les pertes catastrophiques. De ce point de vue, l'ASC est une protection nécessaire — une « brigade de pompiers numérique » — qui assure la responsabilité requise pour protéger les utilisateurs contre des acteurs sophistiqués soutenus par des États, comme le groupe Lazarus.

Comme l’ont rapporté Bitcoin.com News et d’autres médias, l’ASC a agi sur la base d’informations fournies par les forces de l’ordre concernant l’identité de l’exploiteur. Le conseil a déclaré avoir mis en balance son engagement envers la sécurité et l’intégrité de la communauté Arbitrum tout en veillant à ce qu’il n’y ait aucun impact sur les utilisateurs ou les applications d’Arbitrum.

Si le gel des fonds apporte un soulagement temporaire, un expert a averti que ce braquage marque une nouvelle phase, plus dangereuse, de la criminalité DeFi, où les vulnérabilités des ponts sont systématiquement exploitées pour infecter les marchés de prêt. Dans une analyse rétrospective de la stratégie de l'attaquant, Wenzhao Dong, analyste blockchain chez Certik, a souligné que le groupe Lazarus, soutenu par la Corée du Nord, avait fait preuve d'une compréhension sophistiquée de la liquidité du marché. M. Dong a noté que, contrairement au récent incident Hyperbridge — où les attaquants avaient frappé 1 milliard de Polkadot mais n'avaient réussi à convertir qu'environ 240 000 dollars avant l'effondrement du cours —, les attaquants de Kelp DAO ont choisi une voie de « retrait » plus efficace.

« L'exploitation de Kelp DAO met en évidence un schéma de risque clair dans la DeFi moderne », a déclaré Dong. « Une vulnérabilité de pont ne reste pas isolée ; elle se transforme en un problème pour les marchés de prêt. En utilisant du rsETH frauduleusement créé comme garantie sur Aave pour emprunter du WETH, l'attaquant a transformé un vol sur un pont en créance irrécouvrable sur Aave. »

Dong a noté que les attaquants ont délibérément évité les marchés au comptant, où des ordres de vente massifs auraient déclenché un slippage et une détection précoce. Au lieu de cela, en utilisant Aave comme intermédiaire, ils ont transféré le risque vers le protocole de prêt. « La sécurité de la DeFi est interconnectée », a ajouté Dong. « Les protocoles ne peuvent pas se concentrer uniquement sur leurs propres contrats ; ils doivent prendre en compte les risques posés par chaque dépendance de leur système et mettre en œuvre des mesures défensives en conséquence. »

Dans une mise à jour publiée quelques heures après l’annonce du gel par l’ASC, Kelp DAO a exprimé sa gratitude pour l’« action décisive » prise par le conseil. L’organisation a salué la « coordination et la structuration de l’information » de SEAL 911 comme le facteur clé qui a permis aux parties prenantes d’agir avant que les pirates ne puissent transférer les 71 millions de dollars restants en ETH hors du réseau Arbitrum.

Malgré le gel réussi, environ 220 millions de dollars restent manquants. Kelp DAO a confirmé que sa priorité était désormais de travailler avec Aave et d’autres partenaires pour traiter les « créances irrécouvrables » générées par l’exploitation. L’organisation a déclaré qu’elle explorerait également toutes les pistes disponibles pour soutenir les détenteurs de rsETH et rétablir l’ancrage du protocole.