Le pont Kelp DAO, faille majeure
Le 18 avril, le secteur DeFi a été frappé par un exploit massif visant Kelp DAO, aboutissant au vol de 116 500 tokens rsETH pour une valeur comprise entre 290 et 293 millions de dollars.
Profitant de cette faille, les attaquants ont ensuite utilisé ces rsETH comme collatéral sur Aave afin de drainer près de 230 millions de dollars en ETH appartenant aux utilisateurs du protocole, forçant l’Arbitrum Security Council à geler plus de 30 765 ETH dès le mois suivant.
La chronologie des événements révèle une coordination sophistiquée : alors que l’infrastructure RPC interne du DVN (Decentralized Verifier Network) LayerZero était ciblée, les fournisseurs RPC externes subissaient simultanément des attaques DDoS. Cette double offensive a mis en lumière la fragilité des ponts inter-chaînes et la dépendance aux configurations d’oracle sécurisées.
Le 25 avril, Solv Protocol a officialisé sa migration vers Chainlink CCIP après avoir mené une revue de sécurité complète de son bridge LayerZero.
Un seul DVN, le talon d’Achille
LayerZero avait permis à son infrastructure DVN de sécuriser des actifs importants via une configuration dite “1-of-1”, où un seul validateur devait approuver les transferts inter-chaînes. Cette architecture a constitué un point de défaillance unique : malgré des avertissements antérieurs, Kelp DAO a maintenu cette configuration risquée pour ses flux majeurs.
LayerZero a reconnu publiquement sa part de responsabilité dans ce choix technique, admettant que la gestion du risque n’a pas été suffisante pour protéger contre ce type d’attaque sophistiquée.
Suite à l’exploit, LayerZero a annoncé qu’il ne prendrait plus en charge les configurations “1/1” pour les transactions à fort enjeu. Les nouvelles normes migrent vers un minimum de trois validateurs (3/3) sur les chaînes compatibles et jusqu’à cinq (5/5) lorsque cela est possible. Cette décision vise à limiter tout futur “single point of failure” dans la sécurisation des transferts cross-chain.
Fuite vers Chainlink après l’exploit
L’impact de l’attaque ne s’est pas limité à Kelp DAO : dès la semaine suivante, plusieurs protocoles DeFi ont annoncé leur migration vers Chainlink. Le token rsETH de Kelp a été transféré sur Chainlink pour ses flux d’oracle, abandonnant définitivement le bridge LayerZero jugé vulnérable après la brèche.
Solv Protocol a suivi le mouvement le 25 avril en optant pour Chainlink CCIP afin de remplacer son bridge LayerZero après une revue complète de sécurité. Tydro, autre acteur DeFi touché indirectement par la crise des oracles, a également migré vers Chainlink après avoir suspendu ses marchés suite à un incident impliquant Chaos Labs comme fournisseur d’oracle. RedStone, quatrième fournisseur mondial d’oracles blockchain, a été sollicité en urgence par Tydro pour rétablir ses flux critiques.
Voir Aussi
Pourquoi ça compte ?
La réaction communautaire ne s’est pas fait attendre : Arbitrum DAO a voté ce jeudi en faveur du déblocage d’environ 70 millions de dollars en ETH gelés pour soutenir les victimes du hack Kelp DAO. La proposition, co-écrite par Aave Labs, KelpDAO, LayerZero, EtherFi et Compound, a recueilli plus de 182 millions de voix favorables (soit près de 91 %). Les fonds seront transférés dans un Gnosis Safe multisig contrôlé par quatre représentants distincts afin d’assurer leur restitution exclusive aux utilisateurs lésés par la perte du rsETH.
Cependant, une procédure judiciaire ralentit ce plan : un restraining notice déposé au Southern District of New York invoque que ces fonds représentent une propriété potentielle du gouvernement nord-coréen (DPRK), l’attaque ayant été attribuée au groupe Lazarus. Aave LLC conteste ce gel devant la justice américaine et demande soit sa levée immédiate soit un bond d’au moins 300 millions si le blocage persiste – arguant que chaque jour passé aggrave le préjudice subi par les utilisateurs.
LayerZero admet sa responsabilité technique
LayerZero n’a pas seulement reconnu son erreur autour du “1-of-1” DVN ; l’équipe a aussi révélé un incident passé resté jusqu’ici confidentiel. Trois ans et demi avant l’exploit Kelp DAO, un signataire multisig avait utilisé son hardware wallet professionnel pour effectuer une transaction personnelle. Bien que cette action n’ait pas conduit à une compromission directe selon theblock.co, elle illustre la nécessité constante d’une discipline opérationnelle stricte dans la gestion des clés critiques.
DeFi : la course aux oracles fiables
La vague actuelle de migrations vers Chainlink souligne combien la confiance dans les infrastructures d’oracle est désormais centrale dans l’écosystème DeFi. Plusieurs protocoles réexaminent leurs dépendances techniques et cherchent à éviter tout point unique de défaillance pouvant mettre en péril des centaines de millions d’actifs utilisateurs.
Reste que le modèle parfait n’existe pas encore : si Chainlink semble aujourd’hui bénéficier du mouvement général post-Kelp DAO, certains protocoles explorent aussi des solutions hybrides ou multiplient les fournisseurs afin d’éviter toute concentration excessive du risque. L’incident rappelle que chaque maillon faible – qu’il soit humain ou technique – peut suffire à provoquer une onde de choc systémique dans la finance décentralisée.
Points de synthèse
- •Le 18 avril 2024, 116 500 rsETH (290-293 M$) ont été volés via une faille du bridge Kelp DAO.
- •Après l’exploit, plusieurs protocoles DeFi (Kelp DAO, Solv, Tydro) ont migré vers Chainlink, abandonnant LayerZero.
- •Arbitrum DAO a voté la libération de 70 M$ en ETH gelés pour indemniser les victimes de l’attaque Kelp DAO.
Ce qui peut encore évoluer
Le transfert des 70 millions de dollars en ETH gelés par Arbitrum DAO reste incertain, car un restraining notice déposé le 1er mai à New York invoque une possible saisie au titre de propriété nord-coréenne, et Aave LLC a demandé au tribunal d'annuler ce gel ou d'exiger un bond d'au moins 300 millions de dollars si celui-ci perdure.