LayerZero Labs a publié son rapport d’incident sur l’attaque du pont KelpDAO, indiquant qu’environ 292 millions de dollars en rsETH ont été volés après que les attaquants ont empoisonné l’infrastructure RPC utilisée par son réseau de vérification et imposé des changements de politique autour des configurations à signataire unique.
Résumé
- LayerZero a déclaré que KelpDAO a été exploité pour environ 290 millions de dollars, soit environ 116 500 rsETH, dans une attaque isolée à la configuration single-DVN de rsETH.
- La société a indiqué que les indicateurs préliminaires pointent vers TraderTraitor, lié à la Corée du Nord, et a décrit l’exploit comme une compromission d’infrastructure plutôt qu’une faille du protocole.
- LayerZero a déclaré qu’il va cesser de signer les messages pour les applications utilisant des configurations 1/1 DVN et qu’il pousse les intégrateurs concernés vers une redondance multi-DVN.
LayerZero Labs a publié un récit détaillé de l’exploitation de KelpDAO, confirmant que les attaquants ont volé environ 116 500 rsETH, d’une valeur d’environ 292 millions de dollars, en compromettant une infrastructure en aval liée à la couche de vérification utilisée dans la configuration cross-chain de KelpDAO.
La société a déclaré que l’incident était limité à la configuration rsETH de KelpDAO, car l’application reposait sur une configuration 1-sur-1 DVN, avec LayerZero Labs comme unique vérificateur — un choix que LayerZero dit contredire directement sa recommandation habituelle selon laquelle les applications doivent utiliser des configurations multi-DVN diversifiées, avec redondance.
Dans sa déclaration, LayerZero a indiqué qu’il y avait eu « zéro contagion vers d’autres actifs cross-chain ou d’autres applications », arguant que l’architecture de sécurité modulaire du protocole a contenu la zone d’impact, même si une configuration au niveau d’une application unique a échoué.
Comment l’attaque a fonctionné {#how-the-attack-worked}
D’après le rapport de LayerZero, l’attaque du 18 avril 2026 a ciblé l’infrastructure RPC utilisée par la DVN de LayerZero Labs, plutôt que d’exploiter le protocole LayerZero, la gestion des clés ou le logiciel DVN lui-même.
La société a déclaré que les attaquants ont obtenu l’accès à la liste des RPC utilisés par la DVN, compromis deux nœuds exécutés sur des clusters distincts, remplacé des binaires sur des nœuds op-geth, puis utilisé des charges malveillantes pour injecter des données de transaction falsifiées au vérificateur tout en renvoyant des données exactes à d’autres points de terminaison, y compris des services internes de supervision.
Pour finaliser l’exploit, les attaquants ont aussi lancé des attaques DDoS sur des points de terminaison RPC non compromis, ce qui a déclenché un basculement vers les nœuds empoisonnés et a permis à la DVN de LayerZero Labs de confirmer des transactions qui n’avaient en réalité jamais eu lieu.
Des travaux de forensic menés en parallèle correspondent largement à cette description. Chainalysis a déclaré que les attaquants liés au groupe Lazarus de la Corée du Nord, en particulier TraderTraitor, n’ont pas exploité un bug de smart contract, mais ont plutôt falsifié un message cross-chain en empoisonnant des nœuds RPC internes et en submergeant des nœuds externes dans une configuration de vérification à point de défaillance unique.
Changements de sécurité {#security-changes}
LayerZero a indiqué que la réponse immédiate comprenait la mise à la retraite et le remplacement de tous les nœuds RPC concernés, le rétablissement de la DVN de LayerZero Labs en état de fonctionnement, et le contact des agences de maintien de l’ordre, tout en travaillant avec des partenaires de l’industrie et Seal911 pour retracer les fonds volés.
Plus important encore, la société modifie la manière dont elle gère les configurations à risque. Dans sa déclaration, LayerZero a indiqué que sa DVN « ne signera ni ne certifiera des messages provenant d’applications qui utilisent une configuration 1/1 », un changement de politique direct visant à empêcher une répétition du mode de défaillance observé avec KelpDAO.
La société contacte également des projets qui utilisent encore des configurations 1/1 afin de les faire migrer vers des modèles multi-DVN avec redondance, admettant de facto que la flexibilité de configuration sans garde-fous de sécurité imposés était trop permissive en pratique.
La question de l’attribution s’est aussi renforcée. Chainalysis a rattaché l’exploit au groupe Lazarus de la Corée du Nord et spécifiquement à TraderTraitor, tandis que Nexus Mutual a indiqué que le message falsifié a dérobé 292 millions de dollars depuis le pont de KelpDAO en moins de 46 minutes, en faisant l’une des plus importantes pertes DeFi de 2026.
Le résultat est une leçon familière mais brutale pour l’infrastructure cross-chain : les smart contracts peuvent survivre intacts et le protocole peut quand même échouer en pratique si la couche de confiance hors chaîne est suffisamment fragile. LayerZero essaie désormais de démontrer que la bonne conclusion après un vol de pont de 292 millions de dollars n’est pas que la sécurité modulaire a échoué, mais que laisser n’importe qui faire fonctionner une configuration à signataire unique était la vraie erreur.
