Kelp DAO affirme qu'une configuration "par défaut" de LayerZero avec un seul validateur a permis un piratage du bridge rsETH de 290 millions de dollars, déclenchant un jeu de reproches confus et une migration de sécurité précipitée.

Kelp DAO a contesté l'explication officielle de LayerZero concernant un exploit de bridge de 290 millions de dollars, affirmant que la configuration "à validateur unique" qui a permis à un attaquant de repartir avec 116 500 rsETH n'était pas une personnalisation imprudente mais une configuration par défaut dans les directives de LayerZero lui-même.

Le protocole de re-staking de liquidité a déclaré à CoinDesk que le Decentralized Verifier Network (DVN) 1-sur-1 utilisé sur sa route cross-chain rsETH "suivait les paramètres par défaut documentés de LayerZero" et que la pile de validateurs compromise par l'attaquant "fait partie de l'infrastructure propre de LayerZero", plutôt qu'un tiers non vérifié.

L'attaque, qui a eu lieu le 18 avril, a créé ou libéré 116 500 rsETH vers une adresse contrôlée par l'attaquant — environ 18 % de l'offre du token — et s'est traduite par des pertes d'environ 290 à 293 millions de dollars à l'époque, ce qui en fait le plus grand exploit DeFi de 2026 jusqu'à présent.

Jeu de reproches sur le validateur unique après l'exploit rsETH

Dans son rapport d'enquête et ses déclarations de suivi, LayerZero a insisté sur le fait que "le protocole de LayerZero n'a pas été cassé", arguant plutôt que Kelp DAO "a déployé un DVN à point de défaillance unique en production" pour un token avec plus de 1 milliard de dollars de La valeur totale verrouillée (TVL).

La société d'interopérabilité a déclaré que "l'exploitation d'une configuration à point de défaillance unique signifiait qu'il n'y avait pas de vérificateur indépendant pour détecter et rejeter un message falsifié" et a affirmé avoir précédemment communiqué "les meilleures pratiques concernant la diversification des DVN" à Kelp DAO et à d'autres partenaires.

Les chercheurs en sécurité et les auditeurs, y compris le cofondateur de SlowMist Yu Xian, ont confirmé que la route du bridge rsETH utilisait un DVN 1/1 — effectivement une signature unique — plutôt qu'une pile 2/2 ou multi-DVN, l'appelant une vulnérabilité "à signature unique et point unique" qui a pu être facilitée par l'ingénierie sociale.

Une analyse post-mortem détaillée du site de suivi DeFi DeFiPrime note que le modèle OApp de LayerZero permet aux applications de choisir combien de DVN doivent approuver un message, avec des configurations 2-sur-3 ou 3-sur-5 couramment recommandées pour les déploiements de grande valeur, mais indique que l'adaptateur de Kelp "était configuré pour accepter l'attestation d'un seul vérificateur" géré par LayerZero Labs.

Cette conception signifiait qu'"une signature falsifiée suffisait à rendre tout message cross-chain réel", permettant à l'attaquant de fournir au bridge une fausse instruction qui imitait un message valide d'une autre chaîne et déclenchait la libération de 116 500 rsETH "sorti de nulle part" vers leur portefeuille.

L'équipe de Kelp DAO rétorque qu'elle a implémenté le code public et les paramètres par défaut de LayerZero sur plusieurs réseaux et que le DVN exploité "était exploité par LayerZero lui-même", impliquant que la responsabilité incombe au moins en partie au fournisseur d'infrastructure plutôt qu'uniquement à l'application.

LayerZero a maintenant pris la mesure inhabituelle de promettre qu'il "cessera de signer des messages pour toute application utilisant une configuration à validateur unique" et force une "migration de sécurité" qui exigera que tous les OApps passent à des architectures multi-DVN s'ils veulent continuer à utiliser le protocole.

Les retombées vont bien au-delà d'un seul token de re-staking.

Comme crypto.news l'a rapporté dans un article précédent sur l'exploit rsETH et l'attribution de l'attaque au groupe Lazarus de Corée du Nord par LayerZero, l'incident a relancé un débat plus large sur la conception des bridges, les configurations par défaut et qui porte en fin de compte la responsabilité lorsque l'infrastructure cross-chain modulaire tourne mal.

Les articles connexes de crypto.news que vous pouvez lier dans la copie incluent la couverture de l'exploit Kelp DAO-LayerZero et l'attribution à Lazarus, l'analyse des piratages de bridge cross-chain antérieurs, et des reportages sur la façon dont les protocoles de re-staking et de liquid-staking concentrent le risque de Smart Contract (Contrat Intelligent) sur plusieurs chaînes.