Kelp affirme que LayerZero a approuvé la configuration qu'il a imputée au piratage de pont de 292 millions de dollars

Kelp DAO affirme que le personnel de LayerZero a approuvé la configuration du vérificateur unique, une décision que LayerZero a depuis invoquée comme la raison pour laquelle un attaquant lié à la Corée du Nord a siphonné environ 292 millions de dollars provenant du pont rsETH de Kelp.

La déclaration va à l'encontre de celle de LayerZero Analyse post-mortem du 19 avril, qui a déclaré que l'application rsETH de Kelp reposait sur LayerZero Labs en tant que seul vérificateur et que cette configuration « contredit directement » le modèle multi-DVN recommandé par LayerZero.

La note de Kelp indique que le personnel de LayerZero a examiné ses configurations pendant plus de 2,5 ans et lors de huit discussions d'intégration, sans avertir qu'une configuration 1-sur-1 représentait un risque de sécurité matériel.

Le mémo, intitulé « Mettre les choses au clair concernant le piratage du pont LayerZero », comprend des captures d’écran d’échanges sur Telegram qui documentent la connaissance de LayerZero ainsi que son absence d’objection à la configuration du vérificateur de Kelp.

Une capture d’écran montre un membre de l’équipe LayerZero disant : « Aucun problème à utiliser les paramètres par défaut non plus — je tague simplement [redacted] ici puisqu’il a mentionné que vous auriez peut-être voulu utiliser une configuration DVN personnalisée pour vérifier les messages, mais je laisse cela à votre équipe ! » Kelp explique que les « paramètres par défaut » mentionnés dans cet échange étaient la configuration DVN 1-sur-1 de LayerZero Labs, ultérieurement citée par LayerZero comme la configuration au niveau de l’application ayant permis l’exploitation.

CoinDesk n'a pas pu authentifier de manière indépendante la capture d'écran.

Les modèles de LayerZero

Kelp souligne également la portée du bug bounty de LayerZero, le démarrage rapide OFT et les exemples pour développeurs comme preuve que LayerZero considérait les choix du réseau des validateurs comme une configuration au niveau de l'application tout en montrant aux développeurs une configuration en un seul DVN.

LayerZero's portée publiée du programme de primes aux bugs sur Immunefi exclut des récompenses les « impacts sur les OApps eux-mêmes résultant de leur propre mauvaise configuration », y compris les réseaux de vérificateurs et les exécutants.

Le Démarrage rapide LayerZero OFT et le configuration officielle d'exemple OFT sur GitHub indiquent LayerZero Labs comme le DVN requis, sans DVN optionnel défini.

La note de Kelp cite un Publication du 19 avril de la part du chercheur en sécurité de Spearbit, Sujith Somraaj, dans lequel Somraaj a déclaré avoir soumis un rapport de prime aux bugs décrivant le même schéma d'attaque et que LayerZero l'a rejeté.

"Ma prime aux bugs : ce n'est pas une vulnérabilité, nécessite tous les DVN," a écrit Somraaj sur X. "Leur déploiement : supprime la partie 'tous'. Les hackers : collectent une prime de 295 millions de dollars à la place." Somraaj est un ancien auditeur LayerZero, selon son Profil Cantina.

Kelp migre vers Chainlink

Kelp a également déclaré qu'il transférerait rsETH de LayerZero vers ChainlinkProtocole d’Interopérabilité Cross-Chain. Le changement déplace rsETH de la norme OFT de LayerZero vers la norme Cross-Chain Token de Chainlink.

L’exploitation a vidé 116 500 rsETH, d’une valeur d’environ 292 millions de dollars, du pont Kelp propulsé par LayerZero. Deux transactions supplémentaires falsifiées, totalisant plus de 100 millions de dollars, ont été signées et traitées par le DVN de LayerZero Labs avant que Kelp ne suspende ses contrats, a déclaré le protocole.

LayerZero a déclaré attaquants sont vraisemblablement liés au groupe Lazarus de la Corée du Nord, qui a accédé à la liste des RPC utilisés par LayerZero Labs DVN, compromis deux nœuds RPC et remplacé les binaires les exécutant.

Les attaquants ont ensuite lancé une attaque DDoS contre des nœuds RPC non compromis, forçant une bascule vers ceux qui avaient été empoisonnés. LayerZero a déclaré que le DVN a alors confirmé des transactions qui n'avaient pas eu lieu.

Kelp soutient que la configuration 1-sur-1 était répandue. CoinGecko, citant les données de Dune Analytics, a indiqué que 47 % des quelque 2 665 contrats OApp LayerZero actifs ont utilisé une configuration DVN 1-sur-1 sur une période de 90 jours se terminant vers le 22 avril, avec plus de 4,5 milliards de dollars de valeur marchande associée exposée au même type de risque.

Le rapport post-mortem de LayerZero a indiqué que le protocole « a fonctionné exactement comme prévu ». La société a annoncé qu'elle ne signerait plus de messages pour toute application fonctionnant en configuration 1-sur-1, un changement de politique qui est entré en vigueur après le piratage.

Kelp affirme que son équipe a dû signaler l'exploitation à LayerZero plutôt que l'inverse, ce qui soulève des questions concernant la surveillance de LayerZero.

Le mémo allègue également un chevauchement important des adresses bénéficiant du rôle ADMIN_ROLE à la fois sur le LayerZero Labs DVN et le Nethermind DVN, en en recensant dix au 8 avril 2026 et cinq supplémentaires au 6 février 2025. CoinDesk n’a pas vérifié de manière indépendante cette affirmation onchain.

LayerZero n'a pas répondu à une demande de commentaire de la part de la publication.

Sur au moins deux chaînes intégrées, Dinari et Skale, le DVN de LayerZero Labs est toujours répertorié comme le seul attestateur disponible, selon la documentation.

Dans un communiqué, un porte-parole de LayerZero a déclaré : « Sujith a raison, la configuration 1/1 n'entre pas dans le cadre du programme de primes aux bugs. Notre prime est axée sur les vulnérabilités du protocole LayerZero lui-même, plutôt que sur les choix de configuration au niveau des applications. Sinon, toute application pourrait se déployer et se définir elle-même comme la seule DVN afin de percevoir malicieusement une récompense. Concernant les configurations par défaut d’OFT et les exemples sur GitHub : les configurations par défaut du protocole sur presque tous les chemins sont multi-DVN. Dans les cas où une configuration 1-of-1 est utilisée dans des modèles, elle fait référence à un contrat 'DeadDVN' qui rejette les messages et invite les développeurs à configurer correctement leur stack de sécurité avant la mise en production. L’affirmation selon laquelle Kelp aurait utilisé les configurations par défaut de LayerZero est inexacte. Ils ont déployé multi-DVN puis ont manuellement rétrogradé à une configuration 1/1. »

MISE À JOUR (5 mai 2026, 22:22 UTC) : Ajoute la déclaration de LayerZero.