Aperçu des principaux éléments
- Piratage de cryptomonnaies : LayerZero s’est excusé pour sa réponse à l’exploit KelpDAO et a admis qu’il n’aurait pas dû permettre à son DVN de fonctionner comme seul vérificateur.
- LayerZero a établi un lien entre l’exploit de 292 millions de dollars et les nœuds RPC compromis, les perturbations RPC externes et les messages inter-chaînes falsifiés.
- Le protocole a mis fin à la prise en charge des configurations de vérificateurs 1/1 et prévoit des améliorations plus importantes de la sécurité dans l’ensemble de son infrastructure.
LayerZero a présenté des excuses publiques pour sa gestion du piratage cryptographique KelpDAO, qui a drainé environ 292 millions de dollars en rsETH à partir d’un pont cross-chain le 18 avril.
Le protocole a admis sa communication après que l’exploit n’a pas abordé directement les problèmes de sécurité fondamentaux. Il a également reconnu avoir commis une faute en permettant à son réseau de vérificateurs décentralisés (DVN) de fonctionner comme seul vérificateur pour les transactions de grande valeur.
La dernière mise à jour du piratage de crypto-monnaies attire désormais l’attention sur les réformes des vérificateurs, les contrôles de l’infrastructure RPC et les nouvelles normes de sécurité opérationnelle dans l’ensemble de l’écosystème de LayerZero.
LayerZero accepte la responsabilité de la conception du vérificateur
LayerZero a déclaré que l’autorisation d’une configuration de vérificateur 1/1 pour les applications de grande valeur était une erreur. Le protocole a noté que les développeurs contrôlaient les configurations de sécurité, mais a admis qu’il n’avait pas surveillé la manière dont sa propre infrastructure de vérification était utilisée.
Dans cette configuration vulnérable, un seul vérificateur pourrait approuver les messages inter-chaînes sans exiger une validation indépendante de la part d’une autre partie.
Cette déclaration marque un revirement par rapport à la réponse antérieure de LayerZero après l’exploit KelpDAO. Dans un premier temps, la société a affirmé que le protocole fonctionnait comme prévu et a attribué le problème aux choix de configuration de KelpDAO.
KelpDAO a contesté cette explication et a indiqué que les documents d’accueil de LayerZero, les exemples de démarrage rapide et les guides de développement traitaient le modèle à un seul vérificateur comme une option de configuration standard.
Bien que LayerZero ait souligné que l’exploit n’a affecté qu’une seule application, l’incident a ravivé les inquiétudes concernant la sécurité des ponts et les risques de concentration des vérificateurs dans l’ensemble de l’infrastructure de la chaîne.
Crypto Hack : Le groupe Lazarus lié à une attaque en chaîne croisée
LayerZero a attribué l’attaque au groupe Lazarus de Corée du Nord, y compris le sous-groupe connu sous le nom de TraderTraitor. Selon le protocole, les attaquants ont compromis les nœuds RPC internes utilisés par son DVN pour lire les données de la chaîne source. Ils ont ensuite lancé une attaque DDoS contre des fournisseurs RPC externes.
Cette combinaison a obligé le DVN à s’appuyer sur une infrastructure compromise. En conséquence, le vérificateur a signé des messages liés à des transactions qui n’ont pas eu lieu. Le message inter-chaîne falsifié a ensuite permis d’exploiter le pont de KelpDAO.
La société a déclaré que l’incident avait mis en évidence des faiblesses dans la conception du système de secours RPC et dans la dépendance des vérificateurs. Elle a maintenant retravaillé sa configuration RPC pour prendre en charge des contrôles de quorum plus granulaires entre les fournisseurs de nœuds internes et externes. Ce changement vise à réduire la dépendance à l’égard d’une seule source de données en cas de perturbation du réseau ou d’attaques ciblées.
LayerZero a également indiqué qu’un bilan complet serait effectué une fois que les partenaires externes en matière de sécurité auront achevé leur travail.
Escroqueries sur les crypto-monnaies : Les règles des vérificateurs et la diversité des clients changent
LayerZero a déclaré que son DVN ne prenait plus en charge les configurations DVN 1/1. Les paramètres par défaut des chaînes sont modifiés pour exiger au moins cinq vérificateurs dans la mesure du possible. Pour les chaînes ayant moins de DVN disponibles, le protocole exige au moins 3 vérificateurs.
L’entreprise est également en train de créer un deuxième client DVN dans Rust. Ce nouveau client a pour but d’accroître la diversité des clients et de réduire la dépendance à l’égard d’une implémentation logicielle unique. La diversité des clients peut contribuer à limiter les points de défaillance partagés lorsque l’infrastructure de la chaîne croisée traite d’importants volumes de transactions.
LayerZero développe également Console, une plateforme permettant aux émetteurs d’actifs de configurer et de contrôler les paramètres de sécurité. Console comprendra une détection des anomalies pour les configurations à risque, donnant aux équipes plus de visibilité sur les configurations des vérificateurs et les risques opérationnels avant que les actifs ne soient transférés d’une chaîne à l’autre.
Ces changements font suite à une enquête publique sur le nombre d’applications de LayerZero utilisant le même modèle à vérificateur unique. Une analyse de Dune citée par KelpDAO a révélé que 47 % des quelque 2 665 contrats OApp actifs de LayerZero utilisaient cette configuration au moment de l’escroquerie au crypto-monnaie.
Multisig Controls Face Fresh Review
LayerZero a également révélé un incident de sécurité opérationnelle plus ancien impliquant un signataire multisig. Il y a environ trois ans et demi, un signataire a utilisé un portefeuille matériel de production pour exécuter une transaction personnelle alors qu’il avait l’intention d’utiliser un autre dispositif. LayerZero a déclaré avoir retiré le signataire, effectué une rotation des portefeuilles et ajouté un logiciel de détection des anomalies aux dispositifs de signature.
Cette divulgation est intervenue à la suite de questions distinctes posées par des chercheurs de la chaîne au sujet d’activités DEX sans rapport avec les clés multisig de production. Bryan Pellegrino, PDG de LayerZero, a déclaré que certaines transactions impliquaient des tests OFT effectués par d’anciens signataires qui ne font plus partie de l’installation.
LayerZero a déclaré qu’il prévoyait de relever son seuil multisig de 3 sur 5 à 7 sur 10 grâce à OneSig, un outil multisig à code source ouvert lancé l’année dernière. OneSig permet aux signataires de télécharger les transactions et de les hacher localement avant de les signer, ce qui limite le risque de modifications non autorisées du backend.
La mise à jour de l’escroquerie cryptographique intervient également alors que KelpDAO et Solv Protocol déplacent l’infrastructure cross-chain vers le CCIP de Chainlink après l’exploit. Solv a déclaré qu’il déplacerait plus de 700 millions de dollars en bitcoins symbolisés, tandis que KelpDAO est devenu l’un des premiers protocoles majeurs à quitter LayerZero après le piratage de crypto-monnaie.
Moses K is a crypto journalist covering markets, regulation, and blockchain trends. He has written for The Coin Republic, Coinchapter, Cryptopolitan, Cryptotale, Coinspeaker, and MPost. Known for his concise, data-driven reporting, Moses focuses on price analysis, on-chain metrics, and policy developments shaping the global digital asset landscape.
