2.9 milliards de dollars volés, qui en assume la responsabilité ? Kelp DAO rejette la faute et déclare : LayerZero « la configuration par défaut » en est responsable

Une attaque de hackers d’une valeur totale de 292 millions de dollars non seulement établit le plus grand vol de l’année dans le domaine DeFi, mais a également déclenché une controverse dans le monde des cryptomonnaies sur la responsabilité. Face aux critiques virulentes, le protocole de staking de liquidité Kelp DAO a publié lundi une déclaration, répliquant fermement aux accusations d’erreurs et jetant la responsabilité sur le fournisseur de technologie cross-chain LayerZero. Rappelant le 18 avril, lorsque Kelp DAO, construit sur la technologie cross-chain LayerZero, a été victime d’un piratage, avec une perte de jusqu’à 116 500 jetons rsETH, d’une valeur d’environ 292 millions de dollars, établissant ainsi le plus grand incident de piratage dans le secteur DeFi cette année. Concernant cette attaque, LayerZero a publié dimanche un rapport préliminaire d’enquête, indiquant que le coupable derrière pourrait très probablement être le groupe de hackers nord-coréen notoirement connu, « Lazarus Group ». Le rapport révèle que les hackers ont d’abord infiltré la liste des nœuds RPC (responsables de la vérification de l’authenticité des messages cross-chain) utilisée par le réseau de validation décentralisé LayerZero (DVN), puis ont empoisonné deux de ces nœuds RPC, et lancé une attaque DDoS contre les autres, forçant le système à basculer vers des nœuds compromis, permettant au DVN de recevoir de faux messages cross-chain, et finalement de signer une transaction de transfert de fonds non autorisée. Dans le rapport, LayerZero critique la configuration extrêmement vulnérable de Kelp DAO, qui utilise un « DVN à nœud unique (1-of-1) ». LayerZero souligne que ce type de conception manque de mécanisme de vérification indépendant, créant une faille critique de « point unique de défaillance » dans le système, empêchant le réseau de bloquer les faux messages cross-chain. LayerZero indique : « Nous avions déjà conseillé à plusieurs reprises à Kelp DAO, en collaboration avec des experts externes, de disperser la configuration des nœuds DVN pour renforcer la sécurité, mais malgré ces recommandations, Kelp a insisté pour utiliser une configuration 1-of-1. » Face à ces accusations sévères de « non-écoute », Kelp DAO a immédiatement riposté sur la plateforme X, accusant cette configuration « 1-of-1 » d’être en réalité une initiative de LayerZero lui-même. Kelp DAO a déclaré dans sa réponse : La configuration de validation à point unique, écrite noir sur blanc dans la documentation technique officielle de LayerZero, est en fait l’« option par défaut » lors de la création de tokens de type OFT (Standard de token permettant la conversion transparente entre plusieurs chaînes). Depuis janvier 2024, Kelp fonctionne sur l’infrastructure de LayerZero et maintient une communication ouverte avec l’équipe LayerZero. Kelp DAO a également précisé qu’au moment de l’expansion vers Layer 2, les deux parties avaient discuté en profondeur de la configuration du DVN, et que la configuration par défaut à nœud unique avait alors été « explicitement confirmée comme appropriée » par LayerZero. « Une procédure de restauration précise et consensuelle, avec la participation des deux parties, est la base pour prendre des mesures correctives appropriées, » a déclaré Kelp DAO, laissant entendre que LayerZero ne devrait pas chercher à rejeter la responsabilité à ce stade. Malgré la dispute ouverte sur la responsabilité de la faille de sécurité, Kelp DAO insiste sur le fait que l’équipe a rapidement pris des mesures de gestion de crise, notamment en suspendant d’urgence les contrats intelligents concernés, et en inscrivant toutes les adresses de portefeuilles liées aux hackers sur une liste noire, contrôlant ainsi la situation et évitant une aggravation des pertes.