KelpDAO fustige Layerzero après une faille ayant coûté 300 millions de dollars et transfère ses rsETH vers le CCIP de Chainlink

Le différend concernant la configuration du réseau

KelpDAO a publié une réponse cinglante à l'encontre de Layerzero Labs à la suite d'une exploitation survenue le 18 avril qui a entraîné la perte de plus de 300 millions de dollars d'actifs DeFi, principalement sous forme de rsETH. Dans une déclaration publique qui contredit l'analyse rétrospective officielle de Layerzero, KelpDAO accuse le fournisseur de pont de « rejeter la faute sur les utilisateurs » pour une défaillance systémique de sa propre infrastructure centrale.

L'exploitation, qui a été attribuée avec un haut degré de certitude au groupe Lazarus, a entraîné la création et la mise en circulation frauduleuses d'actifs. Bien que KelpDAO ait réussi à bloquer 100 millions de dollars supplémentaires de transactions falsifiées en suspendant les contrats, les répercussions ont provoqué un bouleversement massif du paysage DeFi. KelpDAO a par la suite annoncé une migration immédiate vers Chainlink CCIP.

Le principal litige porte sur la cause de la faille. L'analyse rétrospective de Layerzero a présenté l'incident comme un « problème de configuration de KelpDAO », ciblant spécifiquement l'utilisation par Kelp d'une configuration de réseau de vérificateurs décentralisés (DVN) 1-of-1 où Layerzero Labs était le seul validateur. Cependant, KelpDAO a riposté, citant une analyse de Dune montrant que 47 % des contrats OApp de Layerzero — soit plus de 1 200 applications — utilisent le même « niveau de sécurité » DVN 1-1.

Kelp souligne que le guide de démarrage rapide OFT et les modèles par défaut de Layerzero recommandent eux-mêmes la configuration 1-1 avec Layerzero Labs comme seul DVN requis. Le projet a également partagé des captures d'écran de conversations Telegram montrant prétendument des membres de l'équipe Layerzero assurant à Kelp que « les paramètres par défaut étaient corrects » au cours de huit discussions d'intégration distinctes sur deux ans.

Dans un message publié sur X visant à rétablir la vérité, Kelp a détaillé ce que Layerzero admet et ce qu’il omet commodément de mentionner dans son rapport d’analyse rétrospective. Selon ce message, Layerzero a admis que les attaquants avaient eu accès à la liste des RPC utilisés par son DVN et a confirmé que deux nœuds indépendants avaient été compromis et que des binaires avaient été remplacés. De plus, Kelp cite l’interdiction par Layerzero des configurations 1-1 après la perte de 300 millions de dollars comme une autre forme d’aveu. Cependant, selon Kelp, l’analyse rétrospective a ignoré le fait que la propre documentation de Layerzero poussait les développeurs vers la configuration 1-1 vulnérable. Elle n’explique pas non plus pourquoi les systèmes de surveillance de Layerzero n’ont pas détecté le piratage, laissant à Kelp le soin de signaler le problème.

« La vérité toute simple : LayerZero a reproché à ses utilisateurs un problème causé par une défaillance de sa propre infrastructure », a affirmé KelpDAO dans son message.

Pour étayer sa conclusion, Kelp a cité des analyses indépendantes qui ont mis en évidence plusieurs vulnérabilités critiques qui auraient été présentes au moment de l'attaque. Parmi celles-ci, on note que le déploiement par défaut exposait des passerelles publiques dépourvues de mesures de sécurité courantes telles que le WAF ou les listes d'adresses IP autorisées. Une analyse réalisée par Chainalysis a déterminé que Layerzero avait défini un quorum RPC par défaut faible de 1-1, ce qui signifie que si un nœud était compromis, le DVN signait le message falsifié sans recoupement avec les autres.

Pour démontrer sa perte de confiance envers Layerzero, Kelp a déclaré qu'il faisait passer rsETH de la norme OFT de Layerzero à la norme Cross-Chain Token (CCT) de Chainlink. « Notre priorité numéro un reste la sécurité des actifs de nos utilisateurs », a noté KelpDAO, citant les sept années d'expérience de Chainlink et son réseau d'oracles décentralisé et sécurisé.