Piratage de Kelp DAO de 290 M$ lié au groupe Lazarus et à la sécurité faible du bridge

Points clés

• Environ 290 à 293 millions de dollars ont été volés à Kelp DAO suite à une attaque sophistiquée sur des nœuds RPC connectés au système de vérification de LayerZero
• Kelp DAO aurait ignoré les recommandations de sécurité de LayerZero visant à mettre en œuvre plusieurs vérificateurs, fonctionnant avec un seul vérificateur
• Les preuves préliminaires pointent vers le groupe Lazarus de Corée du Nord comme auteurs de cette faille de sécurité
• Neuf plateformes DeFi, notamment Aave, ont subi des dommages en cascade, la valeur totale verrouillée (TVL) d'Aave ayant diminué de 6 milliards de dollars
• À l'avenir, LayerZero a déclaré qu'il refusera de prendre en charge les applications fonctionnant avec des configurations à vérificateur unique

Dans ce qui représente l'une des failles de sécurité les plus importantes de la finance décentralisée en 2026, Kelp DAO a subi des pertes totalisant environ 290 à 293 millions de dollars lors d'une attaque survenue le week-end. LayerZero, le protocole de messagerie cross-chain utilisé lors de l'incident, a attribué la vulnérabilité aux décisions d'infrastructure de Kelp.

La faille s'est concentrée sur le mécanisme de transfert de token rsETH de Kelp à travers différents réseaux blockchain. Fonctionner avec une architecture à vérificateur unique signifiait qu'une seule autorité devait valider les transferts cross-chain. Selon LayerZero, l'entreprise avait explicitement mis en garde Kelp contre cette configuration et avait instamment recommandé l'adoption de plusieurs sources de vérification indépendantes.

Les hackers ont infiltré deux nœuds d'appel de procédure distante (RPC) — des serveurs spécialisés permettant aux logiciels d'interagir avec les données blockchain. Ces nœuds légitimes ont été remplacés par des versions compromises qui transmettaient des informations frauduleuses au système de vérification de LayerZero tout en maintenant une apparence normale pour les autres composants de l'infrastructure.

Étant donné que le processus de vérification de LayerZero consultait également des nœuds externes légitimes, les attaquants ont lancé une campagne de déni de service distribué pour désactiver ces systèmes. Cette tactique a redirigé le trafic réseau à travers l'infrastructure compromise pendant une fenêtre de 80 minutes, de 10 h 20 à 11 h 40, heure du Pacifique, samedi.

Lorsque le mécanisme de basculement s'est activé, les nœuds malveillants ont transmis la confirmation d'une transaction légitime au vérificateur. Le protocole bridge de Kelp a ensuite libéré 116 500 rsETH vers les portefeuilles des attaquants. Le logiciel hostile s'est ensuite éliminé, effaçant toutes les preuves forensiques des serveurs affectés.

Impact en cascade dans l'écosystème DeFi

Les tokens rsETH volés ont été déployés comme actifs collatéraux sur diverses plateformes de prêt, permettant aux attaquants de retirer des actifs authentiques. Aave, la plateforme de prêt décentralisée dominante, a absorbé les dommages les plus importants.

Aave s'est retrouvée en possession d'actifs collatéraux rsETH illiquides tandis que des actifs précieux tels que l'ETH avaient déjà été extraits par le biais de mécanismes d'emprunt. Le native token d'Aave a chuté d'environ 15 % en 24 heures, tandis que le protocole a enregistré environ 6 milliards de dollars de retraits alors que les participants se précipitaient pour retirer leurs fonds.

Pas moins de neuf applications DeFi ont subi des dommages, notamment Fluid, Compound Finance, SparkLend et Euler. La société de cybersécurité Cyvers a caractérisé l'incident comme un « événement de contagion cross-protocol » s'étendant bien au-delà de la vulnérabilité d'une seule plateforme.

Avec une confiance préliminaire, LayerZero a relié cette attaque au groupe Lazarus de Corée du Nord, spécifiquement sa division TraderTraitor. Cette même organisation a été impliquée dans la faille de Drift Protocol de 285 millions de dollars le 1er avril, indiquant que Lazarus a extrait plus de 575 millions de dollars de la finance décentralisée en 18 jours en utilisant deux méthodologies d'attaque distinctes.

Ajustements du protocole de sécurité

LayerZero ne signale aucune preuve de vulnérabilité se propageant aux applications fonctionnant avec des architectures multi-vérificateurs. L'entreprise a restauré son service de vérification et a annoncé une politique permanente refusant de traiter les messages pour toute application utilisant des configurations à vérificateur unique.

Le fondateur de Curve Finance, Michael Egorov, a souligné que cette faille démontre les risques inhérents à la dépendance à des sources de vérification de transaction uniques. Il a également mis en garde contre l'utilisation d'infrastructures cross-chain sauf si elles sont opérationnellement essentielles.

Kelp est resté silencieux concernant la version des événements de LayerZero et n'a pas expliqué pourquoi le protocole a continué à fonctionner avec une architecture à vérificateur unique malgré des avertissements de sécurité explicites.

L'article La faille de 290 millions de dollars de Kelp DAO liée au groupe Lazarus et à une sécurité faible du bridge est apparu en premier sur Blockonomi.