LayerZero fait face à de vives critiques pour sa gestion de la récente attaque de 290 millions de dollars sur KelpDAO. Le protocole d'interopérabilité omnichaine a imputé l'incident à l'utilisation par KelpDAO d'une configuration de vérification 1-sur-1.
Ce week-end, le protocole de restaking liquide KelpDAO a été attaqué, entraînant la perte de plus de 290 millions de dollars en rsETH. Les attaquants ont exploité une vulnérabilité dans le pont du protocole utilisant LayerZero. Deux jours plus tard, LayerZero s'est exprimé sur cet incident, devenu le plus grand piratage DeFi de 2026, survenant peu après l'attaque de 285 millions de dollars sur Drift Protocol.
LayerZero a attribué cette "attaque hautement sophistiquée" au groupe nord-coréen Lazarus. Ils l'ont décrite comme une attaque contre l'infrastructure cryptographique plutôt que comme une exploitation de protocole, affirmant qu'"il n'y a aucune contagion à d'autres actifs ou applications cross-chain". Le protocole a expliqué que son système repose sur une base de sécurité modulaire utilisant des Réseaux de Vérificateurs Décentralisés (DVN), des entités indépendantes qui vérifient les messages cross-chain.
Selon LayerZero, les attaquants ont compromis une majorité des RPC (Remote Procedure Calls) sur lesquels son propre DVN s'appuyait pour vérifier les transactions. Ils auraient échangé des binaires pour forger des messages et utilisé des attaques DDoS pour forcer le système à utiliser ces nœuds compromis, trompant ainsi le DVN pour qu'il confirme de fausses transactions.
Sur la base de cette analyse, LayerZero a conclu que la responsabilité incombait à KelpDAO pour avoir opté pour une configuration à DVN unique plutôt que pour une configuration multi-DVN recommandée. Ils ont déclaré : "Cet incident était entièrement isolé à la configuration rsETH de KelpDAO, conséquence directe de leur configuration à DVN unique."
La communauté crypto critique le "manque de responsabilité"
La communauté crypto a réagi vivement à cette analyse post-mortem, critiquant LayerZero pour ce que beaucoup perçoivent comme un rejet de responsabilité sur les choix de sécurité de KelpDAO.
Un utilisateur X, Saint, a commenté : "Imaginez construire un pont que les véhicules paient pour traverser, le pont s'effondre, et vous dites que c'est leur faute d'avoir traversé le pont. Un numéro de clown classique d'une bande de clowns sans aucune responsabilité."
D'autres ont remis en question la logique d'offrir une configuration "1-sur-1" si elle est intrinsèquement non sécurisée. L'utilisateur Ditto a argumenté : "Si le système permet cette option, ce n'est pas la faute du client qui l'a choisie - c'est une faille de conception fondamentale du système qui l'a permise." Il a ajouté : "En fin de compte, le fait demeure que le RPC du DVN a été compromis. Le DVN est un produit LayerZero, et ce sont eux qui l'ont vendu à ces équipes."
Le responsable de communauté de Chainlink, Zach Rynes, a accusé LayerZero de rejeter la faute pour la compromission de son propre nœud DVN et de "jeter KelpDAO sous le bus" pour avoir fait confiance à une configuration que LayerZero lui-même soutenait et n'a bloquée qu'après le piratage.
Le développeur de Yearn Finance, Artem K, a noté sur X que l'attaque était décrite comme une compromission d'un nœud RPC, qui est l'infrastructure propre de LayerZero. "Étant donné qu'on ne dit pas comment la violation s'est produite, je ne me précipiterais pas pour réactiver les ponts", a-t-il ajouté.
Mauvais diagnostic, mauvaise solution ?
L'analyste The Smart Ape a suggéré que LayerZero avait posé un diagnostic incorrect et proposait la mauvaise solution. Dans son analyse post-mortem, LayerZero a recommandé à toutes les applications utilisant une configuration DVN 1-sur-1 de migrer vers des configurations multi-DVN pour prévenir de futures attaques.
Cependant, l'analyste soutient que les configurations multi-vérificateurs pourraient ne pas arrêter la prochaine grande attaque. Il souligne que plusieurs DVN pourraient encore échouer car ils lisent souvent les états de la chaîne depuis le même petit groupe de fournisseurs RPC, principalement concentrés sur des plateformes cloud majeures comme AWS ou Google Cloud. Si cinq vérificateurs "indépendants" dépendent tous de la même infrastructure compromise, le bénéfice de sécurité est annulé. Si les cinq réseaux de vérificateurs décentralisés (DVN) dépendent des trois mêmes fournisseurs RPC, un attaquant qui compromet ces trois RPC peut tromper simultanément les cinq vérificateurs. Comme l'a expliqué un analyste : "Si tous vos vérificateurs sont trompés de la même manière au même moment, le système revient effectivement à un modèle 1-sur-1. Cinq copies identiques ne valent pas cinq témoins indépendants."
Pour remédier à cette vulnérabilité, l'analyste recommande que chaque vérificateur exploite son propre nœud complet en utilisant un logiciel client différent, hébergé sur des fournisseurs cloud distincts, géré par des équipes d'exploitation différentes et connecté à différents segments du réseau Ethereum. "La solution ne consiste pas à ajouter plus des mêmes composants. La vraie correction est que les vérificateurs valident leur propre infrastructure sous-jacente, pas seulement l'état de la chaîne. Tant que vous ne pouvez pas auditer la configuration en amont d'un DVN - quels fournisseurs RPC, logiciels clients, services cloud et régions il utilise - les affirmations de 'sécurité M-sur-N' ne sont que du marketing pour une fonctionnalité qui n'a pas vraiment été implémentée", a-t-il noté. "Le 18 avril, le groupe Lazarus n'a pas cassé la cryptographie ; il a compromis trois serveurs."
Questions Fréquemment Posées
FAQs La communauté crypto critique l'approche de sécurité de LayerZero
Questions Niveau Débutant
Q1 Qu'est-ce que LayerZero ?
R1 LayerZero est une technologie qui permet à différentes blockchains de communiquer et de partager des données entre elles. On l'appelle souvent un protocole d'interopérabilité.
Q2 Que s'est-il passé avec le piratage de 290M mentionné ?
R2 En 2022, un pont cross-chain majeur appelé Wormhole a été piraté pour environ 320 millions de dollars en crypto. Les critiques récentes font référence à cet événement comme un exemple préventif.
Q3 Que sont les vérificateurs dans ce contexte ?
R3 Les vérificateurs sont des entités ou logiciels indépendants qui vérifient et confirment qu'une transaction passant d'une blockchain à une autre est valide et correcte. Ils agissent comme des gardiens de la sécurité.
Q4 Pourquoi la communauté crypto critique-t-elle LayerZero ?
R4 La communauté craint que le plan de LayerZero pour améliorer la sécurité en ajoutant simplement plus de vérificateurs ne suffise pas à prévenir un piratage massif comme l'incident Wormhole. Les critiques soutiennent que la conception fondamentale doit être plus sécurisée.
Q5 Qu'est-ce qu'un pont cross-chain et pourquoi est-il risqué ?
R5 Un pont cross-chain est un outil qui vous permet de déplacer des cryptomonnaies ou des données d'une blockchain à une autre. Ils sont souvent des cibles pour les pirates car ils détiennent beaucoup de fonds bloqués en un seul endroit, ce qui en fait des pots de miel attractifs.
Questions Intermédiaire/Avancé
Q6 Quel est l'argument principal contre le simple ajout de plus de vérificateurs ?
R6 L'argument est que la quantité ne bat pas automatiquement la qualité ou la conception. Si plusieurs vérificateurs dépendent du même logiciel défectueux ou des mêmes hypothèses de sécurité, ils peuvent tous être compromis ensemble. C'est un problème de point de défaillance unique.
Q7 Existe-t-il des modèles de sécurité alternatifs à l'ajout de plus de vérificateurs ?
R7 Oui. Les alternatives incluent :
Preuves de fraude : Où n'importe qui peut contester et prouver qu'une transaction est invalide.
Clients légers : Utiliser les propres mécanismes de sécurité de la blockchain pour vérifier les transactions.
Sécurité économique/Slashing : Exiger que les vérificateurs engagent de grandes quantités de leur propre crypto, qu'ils perdent s'ils agissent de manière malveillante.