Actualités Crypto

LayerZero admet avoir fait une erreur dans le piratage de 292 millions de dollars

By Telemac

Share

LayerZero admet avoir fait une erreur dans le piratage de 292 millions de dollars

LayerZero a changé de ton, vendredi 9 mai 2026. Après des semaines à jeter la responsabilité sur Kelp DAO, la société d’infrastructure cross-chain a publiquement reconnu avoir commis une erreur qui a permis le détournement de 292 millions de dollars en rsETH. Cette volte-face marque un tournant dans l’une des plus importantes failles de sécurité DeFi de l’année 2026 et soulève des questions fondamentales sur la répartition des responsabilités dans l’écosystème des bridges cross-chain.

Contexte

Le 18 avril 2026, le protocole de restaking liquide Kelp DAO a été víctima d’une attaque d’ampleur sans précédent dans le secteur de la finance décentralisée. En l’espace de quelques heures, 116 500 rsETH — soit environ 292 millions de dollars au cours du jour — ont été drainés du bridge cross-chain alimenté par l’infrastructure de LayerZero. L’attaque, formellement attribuée au groupe Lazarus soutenu par Pyongyang, a exploité une faille dans la configuration technique du réseau de vérificateurs décentralisés, plus connue sous le nom de configuration  » 1-of-1 DVN « .

Pendant plusieurs semaines, LayerZero a maintenu une position défensive, affirmânt que Kelp DAO avait lui-même choisi cette configuration jugée risquée, en totale contradiction avec les recommandations officielles du protocole. La société a publié un postmortem détaillant ce qu’elle présentait comme une erreur de configuration du côté de Kelp DAO, attribuant la responsabilité à l’application plutôt qu’à sa propre infrastructure.

Kelp DAO n’a pas accepté cette version des faits. Le protocole de restaking a immédatement contesté cette analyse, produisant des captures d’écran et des documentaires démontrant que le setup problématique avait été validé par les équipes de LayerZero elles-mêmes lors de huit réunions d’intégration couvrant environ deux ans et demi de collaboration. Un échange montré en preuve indique qu’un membre de l’équipe LayerZero avait même écrit :  » Pas de problème non plus pour utiliser les paramètres par défaut — je tag juste [redacted] ici puisqu’il a mentionné que vous pourriez vouloir utiliser une configuration DVN personnalisée pour vérifier les messages, mais nous laissons cela à votre équipe ! « 

Les faits

La nouvelle position de LayerZero, publiée officiellement le 9 mai, représente un revirement complet. La société reconnaît désormais explicitement avoir fait une erreur stratégique en laissant son propre DVN opérer comme unique vérificateur pour des transactions de grande valeur.  » Nous avons fait une erreur en laissant notre DVN servir de 1/1 DVN pour les transactions à forte valeur. Nous n’avons pas contrôlé ce que notre DVN sécurisait, ce qui a créé un risque que nous n’avons tout simplement pas vu. Nous en assumons l’entière responsabilité « , peut-on lire dans la déclaration officielle de l’entreprise.

Le groupe Lazarus, acteur étatique du cybercrime , a déployé une stratégie d’attaque en plusieurs étapes. D’abord, les attaquants ont compromis les nodes RPC internes du DVN opéré par LayerZero Labs. Simultuément, ils ont lancé des attaques par déni de service distribué contre les fournisseurs RPC externes, créant ainsi une fenêtre d’exploitation parfaite. Cette double offensive technique a permis de falsifier une attestation de message cross-chain — le fameux  » PacketSent event  » — qui n’avait pourtant jamais été émis par le contrat légitime sur la blockchain Unichain.

Une fois le message frauduleux validé par le DVN compromis de LayerZero, le contrat OFT Adapter de Kelp sur Ethereum a libéré les 116 500 rsETH vers le portefeuille contrôlé par l’attaquant. Ce dernier a ensuite immédatement fourni ces jetons rsETH non garantis comme garantie sur Aave V3, empruntant environ 266 millions de dollars en ETH contre ces actifs fictifs.

Les conséquences en chaîne se sont révélées dévastatrices pour l’ensemble de l’écosystème DeFi. Aave, le protocole de prêt décentralisé le plus utilisé au monde, a vu sa valeur totale verrouillée chuter d’environ 6,6 milliards de dollars en l’espace de 24 heures seulement. Le taux d’utilisation du WETH sur Aave a atteint 100 %, signifiant que plus aucun utilisateur ne pouvait emprunter sur cette ressource. À ce jour, le protocole reste confronté à environ 196 millions de dollars de passifs WETH non couverts, fruit de l’assurance dépôt fournie à un attaquant qui n’a jamais possèdent les fonds correspondants.

Dans un développements parallèle mais liées, un juge fédéral de Manhattan a autorisé le 9 mai Aave à transféer 71 millions de dollars en ETH gelés sur Arbitrum vers un portefeuille contrôlé par Aave LLC, tout en préservant la réclamation légale des victimes du terrorisme nord-coréen sur ces fonds. Cette décision ouvre la voix à une récupération partielle mais laisse entrevoir des années de procédures judiciairesimpliquant à la fois le protocole DeFi, les thérapeutologues du renseignement étatique nord-coréen et le système judiciaire américain.

Solv Protocol, otro acteur majeur de l’écosystème, a décidé de réagir promptement en migrant plus de 700 millions de dollars d’infrastructure bitcoin tokenisée loin de LayerZero vers des solutions alternatives. Kelp DAO, de son côté, a opéré sa propre migration stratégique vers le protocole CCIP de Chainlink, abandonne ainsi définitivement l’infrastructure qui l’avait thérapeutisé.

Analyse

Cette affaire soulève des questions qui dépassent largement le simple différend commercial entre deux acteurs de la blockchain. La répartition des responsabilités en matière de sécurité dans l’écosystème DeFi reste un territoire juridique et conceptuel largement non cartographié. Quand un protocole comme LayerZero fournit une infrastructure qui permet à un DVN d’approuver des transferts de grande valeur dans une configuration à point unique de défaillance, où se situe précisément la responsabilité ?

Le groupe de recherche en sécurité SigIntZero a publié une analyse technique détaillée de l’incident, qualifiant la configuration compromise de  » porte blindée cyberpunk violée avec une seule serrure compromise — le DVN LayerZero 1-of-1 qui a laissé sortir 292 millions de dollars de Kelp DAO « . Cette métaphore éclaire bien le problème : la sécurité d’un système ne peut jamais reposer sur un seul point de défaillance, même lorsque ce point est opéré par une entreprise reputée.

Hypernative, otra firme de sécurité blockchain, a.formulé une analyse encore plus précise du mécanisme d’attaque. Dans leur rapport, les chercheurs qualifient l’incident d' » exploitation par couche d’observation  » : le DVN de LayerZero Labs a signé un hash de payload pour un événement PacketSent censé avoir été émis par le contrat rsETH OFT légitime sur Unichain, alors que cet événement n’a jamais été produit par aucune transaction valide sur cette blockchain.

Les experts de l’industrie attirent également l’attention sur les limites des méthodologies d’audit de sécurité prévalentes. Comme le note l’analyse publiée par WEEX,  » d’un point de vue du paradigme d’audit actuel, il n’existe aucun outil capable de détecter si le seuil DVN est thérapeutiquement raisonnable « . Les outils d’analyse statique et les audits de code ne couvrent tout simplement pas ce type de risque de configuration. Pour détecter ce genre de vulnérabilité, ce ne sont pas des analyseurs de code qu’il faudrait, mais des listes de contrôle spécialisées vérifiant des paramètres comme le nombre minimal de DVN pour un protocole cross-chain donné.

La problématique soulevée par cet incident dépasse également la sphere technique pour atteindre le coeur même du débat philosophique sur la nature de la confiance numérique. Dans un environnement où des milliards de dollars peuvent être déplacés sur la base d’une simple configuration logicielle, la transparence sur les choix architecturaux devient un impératif éthique autant que technique. Les utilisateurs de protocoles DeFi méritent de connaître précisément les hypothèses de sécurité sur lesquelles repose la protection de leurs fonds.

Réactions du marché

La réponse du marché à cette crise a été à la fois rapide et profonde. Le jeton natif de LayerZero, ZRO, a connu une période de volatilité significative dans les jours suivant la révélation du hack, les investisseurs réévaluant le profil de risque de l’entreprise après cette admission de responsabilité. Les principaux échanges de cryptomonnaies ont watched de près l’évolution de la situation, certains ayant même suspendu temporairement les dépôts de jetons liés à l’écosystème LayerZero.

Chainlink a emerge comme le principal bénéficiaire de cette crise de confiance. Le protocole de oracle decentralisé a récupéré plusieurs bridges importants désertés par LayerZero, dont celui de Kelp DAO pour le rsETH. Cette migration représente un tournant stratégique pour Chainlink, qui Positionne de plus en plus son protocole CCIP comme la solution de référence pour les transferts cross-chain institutionnels.

Les développeurs DeFi établis ont été contraints de revisiónner urgemment leurs configurations de sécurité. Le consensus industriel évolue désormais vers des configurations àfortes plutôt que vers des solutions à point de défaillance unique. Les projets utilisant des bridges cross-chain réfléchissent désormais à deux fois avant d’implémenter des configurations autres que multi-DVN.

Lesregulateurs américains ont également suivi le dossiers de près. Le piratage de 292 millions de dollars, combinés aux autres exploits majeurs de 2026, alimente le débat législatif en cours sur le cadre réglementaire des actifs numériques. Le Senate Banking Committee, qui doit se réunir le 14 mai pour examiner le Digital Asset Market Clarity Act, pourrait être influencé par ces incidents de sécurité reiterés.

Perspectives

LayerZero Labs a annoncé un train de mesures correctives majeur pour restaurer la confiance de l’écosystème. Dorénavant, le DVN opéré par LayerZero Labs n’acceptera plus de servir les configurations 1/1 pour quelque application que ce soit. Tous les paramètres par défaut du protocoleront vers une configuration 5/5 dans la mesure du possible, avec un seuil minimal absolu de 3/3 sur toutes les chaînes où seuls trois DVN sont disponibles.

Cette transition massive pourrait prends plusieurs mois et nécesitera une coordination significative au sein de l’écosystème DeFi. Chaque développeur utilisant LayerZero devra révisionner et mettre à jour ses configurations de sécurité avant tout déploiement en production. Les équipes techniques devront également former leurs équipes aux nouveaux paramétrages et aux implications de ces changements architecturaux.

Pour les investisseurs et les protocoles utilisant des bridges cross-chain, cette affaire constitue un rappel puissant que la sécurité des fonds dépend non seulement de la solidité du code des contrats intelligents, mais aussi et surtout de la configuration des infrastructures de vérification. Les audits de sécurité devront désormais intégrer des listes de contrôle spécialisées pour les paramètres de configuration DVN, et les équipes de développement devront démontrrer une compréhension approfondie des implications de chaque choix architectural.

À moyen terme, cette crise pourrait accélérer l’émergence de standards industriels en matière de sécurité cross-chain. La question de la responsabilité des prestataires d’infrastructure dans l’écosystème DeFi demeure largement ouverte, et les suites juridiques de cette affaire pourraient établr des précédents significatifs pour l’ensemble du secteur.

L’industrie dans son ensemble doit collectivement tirer les leçons de cet épisode. Les protocoles d’infrastructure doivent assumer une responsabilité accrue dans la validation des configurations qu’ils recommendent ou qu’ils mettent à disposition par défaut. La création du standard OneSig par LayerZero, leur nouveau multisig personnalisé développé en réponse à l’incident, illustre une prise de conscience tardive mais réelle des carences en matière de gestion des clés de signature.

Sources

Telemac
Telemachttp://cryptoinfo.ch

Contenu [hide]

Lire la Suite

Articles