LayerZero déclare avoir « commis une erreur » dans l’exploitation de Kelp à hauteur de 292 millions de dollars

LayerZero a déclaré tard vendredi, heure des États-Unis qu'elle « a commis une erreur » en permettant à sa propre infrastructure de vérification de sécuriser des actifs cryptographiques de grande valeur dans une configuration vulnérable, marquant un changement notable de ton après des semaines d'accusations envers le développeur Kelp DAO victime d'un piratage de 292 millions de dollars lié aux attaquants nord-coréens.

L’admission marque un changement notable après des semaines de désaccord public entre LayerZero et Kelp concernant la responsabilité du piratage d’avril, que LayerZero avait initialement présenté comme une défaillance de configuration au niveau de l’application par Kelp.

« Tout d’abord : des excuses tardives », a écrit LayerZero dans un article de blog publié vendredi.

LayerZero a initialement pointé du doigt Kelp, arguant que le protocole avait choisi une configuration risquée « 1-sur-1 » dans laquelle un seul réseau décentralisé de vérificateurs, ou DVN, devait approuver les transferts inter-chaînes, créant ainsi un point unique de défaillance. Un DVN fait partie de l'infrastructure qui vérifie la légitimité d'une transaction déplaçant des actifs entre les blockchains.

« Nous avons commis une erreur en permettant à notre DVN d’agir en tant que DVN 1/1 pour des transactions de grande valeur », a déclaré la société. « Nous n'avons pas contrôlé ce que notre DVN sécurisait, ce qui a créé un risque que nous n'avions tout simplement pas envisagé. Nous en avons la pleine responsabilité. »

Pour remédier à cela, LayerZero Labs a annoncé que son DVN ne prendra plus en charge les configurations 1/1 DVN. De plus, "tous les paramètres par défaut sur l'ensemble des chemins sont en cours de migration vers 5/5 lorsque cela est possible et pas moins de 3/3 sur toute chaîne où seuls 3 DVN sont disponibles", a indiqué le blog.

Les ponts inter-chaînes fonctionnent comme des rails de transfert numériques entre des réseaux blockchain autrement séparés, mais ont longtemps été parmi les infrastructures les plus vulnérables de la crypto.

LayerZero a maintenu que son protocole sous-jacent n'a pas été compromis et a réitéré que les développeurs sont en dernier ressort responsables de la configuration de leurs propres hypothèses de sécurité.

« Le protocole LayerZero est resté indemne », a déclaré la société, attribuant l’exploitation à une attaque ciblant l’infrastructure RPC interne utilisée par le DVN de LayerZero Labs, tandis que les fournisseurs RPC externes étaient simultanément visés par des attaques par déni de service distribué.

De plus, Layer Zero a déclaré qu'il y a trois ans et demi, l'un de ses signataires sur notre multisig a utilisé son portefeuille matériel multisig pour effectuer une transaction personnelle, alors qu'il avait l'intention d'utiliser son propre portefeuille matériel personnel. Il prend des mesures contre ce type d'actions et a déclaré : « Cela n'est évidemment pas acceptable. »

"Ce signataire a été retiré du multisig, les portefeuilles ont été réinitialisés, et nous avons depuis mis à jour nos pratiques de sécurité concernant les dispositifs de signature, ajouté un logiciel de détection d'anomalies localisé sur chaque appareil, et créé un multisig personnalisé appelé OneSig."

Les concurrents, y compris Chainlink, profitent des répercussions pour gagner des parts de marché auprès des protocoles repensant leurs fournisseurs de sécurité.

Kelp a a déjà bougé son pont rsETH vers le protocole d'interopérabilité inter-chaînes concurrent de Chainlink, tandis que Solv Protocol a déclaré cette semaine il migre plus de 700 millions de dollars en infrastructure de bitcoin tokenisé hors de LayerZero suite à une nouvelle revue de sécurité.