Kelp, annonce sa migration vers Chainlink… attaque à nouveau LayerZero, en affirmant « connaître les défauts de sécurité mais rester silencieux »

Protocole de staking liquide Kelp annonce sa migration vers le protocole d’interopérabilité cross-chain Chainlink (CCIP) après avoir été victime d’une attaque de phishing d’environ 300 millions de dollars. Par ailleurs, le différend concernant la responsabilité de l’attaque s’intensifie à nouveau entre LayerZero.

Déroulement de l’événement

Le 18 avril de cette année, un groupe de hackers suspecté d’être lié à la Corée du Nord, Lazarus Group, a exploité une vulnérabilité de Kelp pour forger illégalement 116 500 jetons rsETH de staking liquide Ethereum. Ensuite, les attaquants ont transféré les fonds volés vers le protocole de liquidité décentralisé Aave, empruntant ainsi 106 497 ETH, ce qui, au prix du marché à l’époque, représente une perte allant de 292 à 294 millions de dollars. Après avoir découvert l’attaque, Kelp a immédiatement suspendu tous les contrats et a réussi à bloquer deux transactions suspectes d’une valeur totale d’un milliard de dollars.

Le débat sur la responsabilité

Initialement, Kelp a qualifié l’incident d’« attaque contre l’infrastructure LayerZero », mais LayerZero a répliqué en affirmant que Kelp n’avait pas adopté la configuration recommandée basée sur un réseau de validateurs décentralisé (DVN) multiple, mais avait conservé une configuration à validateur unique « 1-1 » présentant des vulnérabilités, la responsabilité revenant donc à Kelp. David Schwartz, ancien CTO de Ripple, a également rejoint la controverse, soulignant que le protocole de sécurité de LayerZero est en soi suffisant, mais que Kelp ne l’avait pas adopté pour des raisons de commodité.

Kelp a répondu mardi soir en indiquant que 47 % des applications cross-chain (OApp) utilisent encore la même configuration « 1-1 », et que 90 % des messages traités par cette infrastructure dépendent d’un ou deux DVN. Kelp insiste sur le fait que LayerZero utilise par défaut cette structure « 1-1 » pour déployer et recommander des DVN, et que Kelp a simplement suivi ses directives.

De plus, Kelp accuse LayerZero de ne pas avoir réagi face à l’intrusion dans le DVN, en restant silencieux sur les infiltrations, la surveillance manquante et les vulnérabilités de sécurité, et affirme que LayerZero n’a commencé à remettre en question la configuration « 1-1 » qu’après l’attaque, en cessant de valider les signatures.

Migration vers Chainlink

Pour prévenir de futures attaques similaires, Kelp a décidé de migrer son infrastructure de sécurité cross-chain vers Chainlink CCIP. Par ailleurs, le standard de jeton rsETH passera du OFT (Token homogène cross-chain) de LayerZero au standard CCT (Cross-Chain Token) de Chainlink. Kelp indique que le réseau décentralisé d’oracles de Chainlink offre une sécurité supérieure pour la communication cross-chain par rapport à LayerZero, et que l’équipe travaille actuellement à finaliser les détails opérationnels de cette migration.

Selon les données, malgré l’attaque et la sortie massive de fonds, la valeur totale verrouillée (TVL) de Kelp reste d’environ 1,63 milliard de dollars, ce qui montre que la communauté conserve une confiance significative en la plateforme.