LayerZero répond à l'incident de vulnérabilité de 290 millions de dollars de KelpDAO, attribuant la faute à une configuration DVN unique

BroadChain a appris que le 20 avril à 20h00, selon Bitcoinist, l'incident de vulnérabilité de 290 millions de dollars touchant rsETH de KelpDAO est entré dans une nouvelle phase. LayerZero et Aave ont publiquement expliqué le déroulement des événements, les raisons pour lesquelles les dommages sont contrôlables et l'impact sur les futures normes de sécurité inter-chaînes. L'argument principal de LayerZero est que cet incident n'est pas dû à une défaillance de son protocole lui-même, mais à la décision de KelpDAO de faire fonctionner rsETH avec une configuration à DVN unique (réseau de validation décentralisé). Cette déclaration a fait évoluer le récit du marché, passant d'un risque de contagion généralisé des actifs intégrés à LayerZero vers une question plus spécifique : la concentration des risques dans la conception de sécurité d'une application unique. Dans sa déclaration du 20 avril, LayerZero a indiqué que l'attaque du 18 avril ciblait la configuration rsETH de KelpDAO et était "entièrement limitée à la configuration rsETH de KelpDAO, conséquence directe de sa configuration à DVN unique". La société a ajouté avoir effectué un examen complet des intégrations actives et être "confiante qu'il n'existe aucun risque de contagion pour d'autres actifs ou applications". LayerZero a qualifié cet incident d'attaque contre les infrastructures cryptographiques liée à un État, et non d'une vulnérabilité de protocole, les premiers indices pointant vers un acteur étatique hautement sophistiqué, probablement le Lazarus Group de la Corée du Nord (plus précisément TraderTraitor). L'attaque n'a pas directement compromis le protocole, la gestion des clés ou les instances DVN, mais les attaquants ont contaminé l'infrastructure RPC en aval utilisée par le DVN de LayerZero Labs, en remplaçant les fichiers binaires sur les nœuds op-geth compromis, puis en exerçant une pression DDoS sur les RPC non affectés pour forcer le basculement vers l'infrastructure contaminée. LayerZero a souligné que, grâce à son principe de moindre privilège, les attaquants n'ont pas pu compromettre les instances DVN réelles, mais ont utilisé ce point d'entrée pour exécuter une attaque de spoofing RPC. Leur nœud malveillant a envoyé des messages falsifiés au DVN en utilisant une charge utile personnalisée spécialement conçue, tout en renvoyant des réponses authentiques à d'autres adresses IP, y compris sa propre infrastructure de surveillance, pour éviter la détection. LayerZero a noté que si rsETH n'avait pas dépendu d'une configuration de validateur 1-sur-1, cette attaque aurait dû être bloquée au niveau applicatif. La configuration OApp de KelpDAO dépendait à l'époque d'un DVN unique, avec LayerZero Labs comme seul validateur, ce qui va directement à l'encontre du modèle de redondance multi-DVN que LayerZero recommande systématiquement à tous ses partenaires d'intégration. La société a déclaré que son DVN était de nouveau en ligne, que les nœuds RPC affectés avaient été abandonnés et remplacés, et qu'elle ne signerait ni ne certifierait plus de messages pour les applications utilisant une configuration 1/1, tout en collaborant avec les autorités et les partenaires industriels (dont Seal911) pour tracer les fonds. Dans une mise à jour sur la plateforme X, Aave a indiqué que son analyse montrait que "rsETH sur le réseau principal Ethereum est pleinement soutenu", mais par prudence, rsETH reste gelé sur Aave V3 et V4, et l'exposition à cet incident a été plafonnée. Les réserves de WETH sur les marchés affectés d'Ethereum, Arbitrum, Base, Mantle et Linea restent également gelées, l'équipe continuant à vérifier les informations et à évaluer les solutions possibles. Au moment de la rédaction, la capitalisation totale du marché des cryptomonnaies est d'environ 2,5 billions de dollars.