Layerzero affirme n'avoir subi aucune contamination après une exploitation ayant coûté 290 millions de dollars, alors que les versions contradictoires suscitent une attention croissante

• Layerzero a qualifié cette faille de défaillance de l'infrastructure, ce qui a ébranlé la confiance dans les modèles de sécurité des ponts.
• Zach Rynes, de Chainlink, a imputé la responsabilité à la centralisation des validateurs, ce qui a accru les risques liés à la crédibilité dans l'ensemble du secteur DeFi.
• KelpDAO subit désormais des pressions pour adopter des configurations multi-DVN, ce qui laisse présager des normes plus strictes à l'avenir.

Les risques de sécurité des ponts DeFi révèlent des faiblesses structurelles

Une grave faille de sécurité inter-chaînes intensifie l'examen minutieux de la conception des ponts dans la finance décentralisée (DeFi) après que LayerZero Labs a présenté son compte rendu de l'exploitation de rsETH d'environ 290 millions de dollars subie par KelpDAO. Le 18 avril, la déclaration a été publiée sur la plateforme de réseaux sociaux X, qualifiant l'incident d'attaque au niveau de l'infrastructure qui a mis en évidence les risques liés aux configurations de vérificateurs centralisées. Dans cette déclaration, Layerzero Labs a indiqué :

« Les indicateurs préliminaires suggèrent que l'attaque est le fait d'un acteur étatique hautement sophistiqué, probablement le groupe Lazarus de la RPDC, et plus précisément TraderTraitor. »

D'après les détails fournis, l'attaque visait l'infrastructure de l'appel de procédure à distance (RPC) en aval utilisée par son réseau de vérificateurs décentralisés. Plutôt que d'exploiter le protocole lui-même, les attaquants auraient corrompu les systèmes RPC, manipulé les données présentées au vérificateur et utilisé une pression de déni de service distribué contre des terminaux non compromis. Cette combinaison a permis de valider des transactions frauduleuses tout en évitant la détection par les systèmes de surveillance.

Layerzero Labs a attribué la principale faille à la configuration rsETH de KelpDAO, qui reposait sur une structure DVN de type « un-à-un ». Ce modèle ne laissait aucun vérificateur indépendant capable de rejeter un message falsifié une fois l’infrastructure de soutien compromise. Le communiqué a fait valoir que cette configuration allait à l'encontre des recommandations de longue date en faveur d'une redondance multi-DVN. Il a également indiqué qu'une configuration correctement diversifiée aurait nécessité un consensus entre plusieurs vérificateurs, ce qui aurait rendu l'attaque inefficace même si une voie avait été compromise.

Le débat sur la responsabilité s'intensifie au sein de l'infrastructure cryptographique

Layerzero Labs a également souligné que l'impact restait limité à l'ensemble de l'écosystème. « Nous avons procédé à un examen complet des intégrations actives sur le protocole Layerzero », a déclaré Layerzero Labs, en soulignant :

« Nous pouvons confirmer avec certitude qu’il n’y a aucune contagion vers d’autres actifs ou applications. »

« Cet incident était entièrement isolé à la configuration rsETH de KelpDAO, conséquence directe de leur configuration à DVN unique », ont-ils ajouté. Ce cadrage soutient l'idée que le protocole a fonctionné comme prévu, la sécurité modulaire limitant les dommages à une seule intégration plutôt que de créer une exposition systémique plus large.

La réaction de la communauté a été très partagée, certains contestant directement cette interprétation. Zach Rynes, chargé des relations avec la communauté chez Chainlink, a déclaré sur X : « Comme on pouvait s’y attendre, Layerzero se dégage de toute responsabilité quant au fait que sa propre infrastructure de nœuds DVN a été compromise et a causé une exploitation de pont de 290 millions de dollars. » Il a fait valoir que le problème provenait à la fois du contrôle de l’infrastructure et de la concentration des validateurs, créant ainsi un point de défaillance unique. Rynes avait signalé ce risque de centralisation des années auparavant et averti que de telles configurations exposaient les utilisateurs à un risque systémique démesuré. « Prétendre qu’il n’y a pas eu de contagion n’est que la cerise sur le gâteau », a-t-il conclu. Ce différend reflète un clivage plus large concernant la responsabilité lorsqu’une seule entité contrôle à la fois l’infrastructure et la validation.