Points clés :
Une vulnérabilité critique dans l'infrastructure du pont inter-chaînes de KelpDAO, opérée par LayerZero, a conduit à un exploit de 292 millions de dollars le 18 avril, créant des jetons rsETH non garantis et déclenchant une crise de liquidité sur le protocole de prêt Aave.
La réponse coordonnée signale que l'écosystème « dépasse les protocoles isolés pour s'orienter vers un système financier plus coordonné », mais l'accent doit rester mis sur la responsabilité, a déclaré Matthew Pinnock, COO chez Altura DeFi, à Decrypt.
Les attaquants, soupçonnés d'être le groupe Lazarus de Corée du Nord, ont compromis le réseau à vérificateur unique de LayerZero en empoisonnant les nœuds RPC internes pour signaler un brûlage fantôme d'actifs, selon un rapport de Chainalysis. Cela a permis la frappe non autorisée de 116 500 rsETH sur Ethereum.
L'incident a effacé plus de 15 milliards de dollars de TVL des protocoles concernés et a déclenché un effort de redressement coordonné massif de la part des principaux acteurs de la DeFi, tout en soulevant de sérieuses questions sur la sécurité et la centralisation de l'architecture des ponts inter-chaînes.
En réponse au déficit, une coalition de protocoles baptisée « DeFi United » se mobilise pour absorber la mauvaise créance. L'effort comprend un engagement personnel de 5 000 ETH du fondateur d'Aave, Stani Kulechov, et une proposition de Mantle pour une facilité de crédit de 30 000 ETH à l'Aave DAO. Lido Finance, Golem Foundation et Ether.fi ont également engagé des millions de dollars de soutien. Le Conseil de sécurité d'Arbitrum, travaillant avec les forces de l'ordre, a gelé avec succès 30 766 ETH, d'une valeur d'environ 71,5 millions de dollars, liés aux adresses en aval de l'exploitant.
Les retombées de l'incident ont été aggravées par des questions concernant la posture de sécurité de LayerZero. Le CTO de Ripple, David Schwartz, a mis en avant une déclaration de décembre 2024 du PDG de LayerZero, Bryan Pellegrino, qui affirmait que « 0 % » du volume du protocole reposait uniquement sur un seul réseau de vérificateurs décentralisés (DVN). « Quelque chose a-t-il changé entre décembre 2024 et maintenant ? » a questionné Schwartz, sous-entendant que l'attaque ne s'est peut-être pas produite comme décrit ou que les affirmations de sécurité antérieures étaient inexactes. LayerZero soutient que l'exploit était isolé à la configuration spécifique à un seul DVN de KelpDAO.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
