Le protocole d'interopérabilité LayerZero a déclaré que le groupe nord-coréen Lazarus est l'auteur probable d'un récent exploit sur Kelp DAO, un projet de restaking liquide, attribuant la faille à une « configuration à point unique » compromise.
« L'exploit de Kelp DAO n'était pas une vulnérabilité de LayerZero, mais plutôt une compromission des clés privilégiées de l'équipe Kelp », a déclaré LayerZero dans un rapport post-mortem. « L'attaquant a pris le contrôle d'une seule adresse détenant des autorisations étendues. »
La faille s'est produite parce que l'attaquant a compromis un seul compte détenu de l'extérieur (EOA) qui disposait de privilèges importants sur les opérations du protocole. Ce point de défaillance unique a permis à l'acteur malveillant de drainer des fonds, un scénario qui est devenu un risque de sécurité récurrent dans l'écosystème de la finance décentralisée (DeFi) sur Ethereum et d'autres chaînes. La nouvelle est susceptible de provoquer une perte de confiance dans Kelp DAO, entraînant des sorties de capitaux.
Cet événement souligne les menaces persistantes auxquelles est confronté l'espace DeFi et souligne l'importance de configurations de sécurité multi-signatures robustes. L'exploit pourrait créer une peur, une incertitude et un doute (FUD) plus larges pour d'autres projets associés à LayerZero, ce qui pourrait conduire à une surveillance accrue de leurs modèles de sécurité et de leurs dépendances.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
