LayerZero Labs lettre ouverte tente d'expliquer les échecs liés au piratage de KelpDAO

LayerZero Labs a publié une lettre ouverte expliquant ses échecs en communication et en opérations suite au piratage de KelpDAO par le groupe Lazarus. La cyberattaque n’a pas affecté le protocole LayerZero Labs mais a impacté ses systèmes internes, conduisant la société à reconnaître des erreurs dans ses opérations précédentes.

LayerZero Labs a publié sa lettre d’excuses le 8 mai 2026.

LayerZero admet avoir mal utilisé la multisignature par le passé.

Vers le 19 avril 2026, le groupe Lazarus a attaqué les nœuds RPC internes de LayerZero Labs, utilisés par leur réseau DVN. Les attaquants ont corrompu la source de vérité de ces RPC internes et lancé simultanément une attaque DDoS contre le fournisseur RPC externe de LayerZero Labs. LayerZero a précisé que le protocole LayerZero n’a pas été affecté lors de cet incident.

Selon Cryptopolitan, le piratage n’a concerné qu’une seule application, ce qui représente 0,14 % de toutes les applications LayerZero et 0,36 % de la valeur totale des actifs bridés sur la plateforme. La brèche a conduit à l’exploitation de rsETH de 300 millions de dollars ciblant KelpDAO.

Dans ses excuses, LayerZero Labs a également commenté un autre problème de sécurité survenu il y a trois ans et demi. Dans un cas, un signataire a utilisé le portefeuille matériel destiné aux transactions multisig pour une transaction individuelle de trading de la memecoin McPepes sur Uniswap en utilisant leur portefeuille personnel.

Un signataire a été remplacé, des portefeuilles ont été échangés, et des mesures ont été mises en place pour éviter que des incidents similaires ne se reproduisent à l’avenir.

Cela contredisait directement les déclarations publiques précédentes de Bryan Pellegrino, co-fondateur de LayerZero, qui avait qualifié ces activités de « test OFT » standard moins de 24 heures plus tôt. Certains utilisateurs ont souligné cette incohérence, notant que les memecoins impliqués avaient été observés dans de nombreuses transactions provenant du même portefeuille multisig depuis un certain temps.

Selon Cryptopolitan, LayerZero a précisé que leur mécanisme multisig ne permet que de contrôler la fonctionnalité Endpoint, y compris l’ajout de chaînes et les mises à jour de test par défaut.

LayerZero encourage les développeurs à renforcer leur sécurité

LayerZero a réaffirmé son architecture fondamentale, conçue pour éliminer les points de défaillance uniques courants dans les ponts traditionnels. Chaque application peut indépendamment assurer sa sécurité de bout en bout sans dépendre de LayerZero Labs.

La société a conseillé aux développeurs de prendre des mesures concrètes : fixer toutes les configurations pour éviter les paramètres par défaut contrôlés par LayerZero Labs ; augmenter le nombre de confirmations de blocs sur chaque chaîne pour minimiser les risques de réorganisation ; configurer les DVN avec au moins deux (de préférence trois à cinq) parties indépendantes ; et envisager d’opérer leur propre DVN requis.

La société a également listé quelques hypothèses concernant la confiance et la disponibilité. Les applications par défaut de LayerZero Labs et le DVN qui dépendent d’un seul vérificateur comptent sur toute la confiance de la multisignature de LayerZero Labs. Les services de relais de gaz, tels qu’Essence et les exécuteurs LayerZero, n’affectent que la disponibilité.

Après l’incident, LayerZero Labs ne supporte plus le DVN en configuration 1/1 ; à la place, les paramètres par défaut ont été mis à jour vers des configurations 5/5 ou 3/3, dans la mesure du possible, et le développement d’un client DVN en Rust est en cours.

Implications DeFi suite à la faille LayerZero

La réaction à l’attaque a été immédiatement critiquée pour sa tentative initiale de rejeter la responsabilité sur ses partenaires. KelpDAO et Solv Protocol ont déjà migré leurs systèmes vers Chainlink, et Beefy, Ethena, BitGo, Lombard, et bien d’autres reconsidèrent leurs intégrations.

Des inquiétudes existent quant à la réduction des volumes de transactions bridées, aux gains de Stargate, et aux rachats de tokens $ZRO .

LayerZero peut-il être sauvé ?

Après l’exploitation de ~$300M rsETH, @LayerZero_Core a blâmé ses partenaires au lieu de l’assumer, et ils ont immédiatement ressenti les conséquences. @KelpDAO et @SolvProtocol ont déjà quitté, migré vers @Chainlink.

Non seulement cela, mais les projets ci-dessous… pic.twitter.com/hkKHCHXGou

— Winter Soldier ❄️🙋🏻‍♂️ (@WinterSoldierxz) 9 mai 2026

LayerZero Labs a promis 5 000 ETH au plan de sauvetage DeFi United et 5 000 ETH supplémentaires pour maintenir la liquidité des pools Aave en réponse à l’attaque. Néanmoins, l’incident a suscité un débat plus large sur la sécurité dans les protocoles cross-chain, malgré les excuses exprimées et la promesse d’améliorer le seuil multisig, fixé à 7/10 avec OneSig.

LayerZero Labs maintient que le protocole reste un outil essentiel pour effectuer des transactions sûres et importantes, mais il faudra attendre quelques semaines pour voir comment les développeurs et les organisations évolueront.

Votre banque utilise votre argent. Vous ne recevez que les miettes. Regardez notre vidéo gratuite pour devenir votre propre banque.