LayerZero admet une erreur 1/1 DVN alors que Chainlink profite des craintes concernant la sécurité des ponts

LayerZero Labs a reconnu avoir commis une erreur de sécurité critique en permettant à son réseau de vérificateurs décentralisé [DVN] de fonctionner en configuration 1/1 pour des applications de grande valeur, alors que plusieurs protocoles continuent de migrer loin de son infrastructure suite à l’exploitation rsETH d’avril.

Dans une déclaration longue publiée le 8 mai, la société s’est excusée pour sa communication autour de l’incident. Elle a également reconnu que son infrastructure RPC interne utilisée par le DVN de LayerZero Labs avait été compromise lors de l’attaque.

« Nous avons commis une erreur en permettant à notre DVN d’agir en tant que DVN 1/1 pour des transactions de grande valeur », a déclaré la société. « Nous n’avons pas surveillé ce que notre DVN sécurisait, ce qui a créé un risque que nous n’avons tout simplement pas vu. »

    ANNONCE

Les commentaires marquent la concession la plus claire de LayerZero à ce jour après des semaines de critiques de la part de protocoles et de chercheurs en sécurité suite à l’exploitation d’environ 292 millions de dollars en rsETH liée à l’infrastructure de pont LayerZero de KelpDAO.

LayerZero confirme une attaque de poisoning RPC

Selon la déclaration, des attaquants liés au groupe Lazarus de la Corée du Nord ont compromis l’infrastructure RPC interne utilisée par le DVN de LayerZero Labs. Ils ont également lancé des attaques DDoS simultanées contre des fournisseurs RPC externes.

LayerZero a maintenu que son protocole principal est resté unaffected tout au long de l’incident.

La société a argumenté que les développeurs contrôlent en fin de compte leurs propres hypothèses de sécurité sur LayerZero. Cependant, elle a admis que permettre des configurations DVN 1/1 pour des actifs en production créait des risques inacceptables.

LayerZero a également confirmé que son DVN ne supporte plus les configurations 1/1. La société a indiqué que toutes les voies par défaut évoluent désormais vers des configurations de vérification 5/5 ou minimum 3/3 lorsque cela est possible.

Les protocoles migrent vers Chainlink CCIP

Les répercussions ont déjà commencé à remodeler les préférences en matière de ponts dans l’industrie.

KelpDAO est devenu le premier protocole majeur à annoncer une migration loin de LayerZero. Il a déclaré qu’il déplacerait l’infrastructure cross-chain rsETH vers Chainlink CCIP après avoir publiquement blâmé l’infrastructure de LayerZero pour l’exploitation.

Depuis, d’autres projets ont suivi.

Solv Protocol a déclaré qu’il migrerait plus de 700 millions de dollars en Bitcoin tokenisé vers Chainlink CCIP après avoir effectué une revue de sécurité.

Pendant ce temps, Re Protocol, une plateforme de réassurance onchain avec plus de 475 millions de dollars en valeur totale verrouillée, a également annoncé son intention de déplacer les transferts reUSD cross-chain exclusivement vers Chainlink CCIP.

Ces migrations suggèrent que l’architecture de sécurité des ponts devient un terrain de compétition majeur suite à l’exploitation.

Le débat sur la sécurité des ponts s’intensifie

Le différend plus large a évolué au-delà d’une seule exploitation.

Protocoles, fournisseurs d’infrastructure et chercheurs en sécurité débattent désormais ouvertement de la manière dont les systèmes cross-chain doivent équilibrer flexibilité, décentralisation et sécurité opérationnelle.

Depuis des années, la compétition entre ponts se concentrait principalement sur la rapidité et l’interopérabilité. La vague de migrations récente suggère que les protocoles mettent désormais beaucoup plus l’accent sur les modèles de vérification, l’isolation de l’infrastructure et la séparation des domaines de faute.

Résumé final

• LayerZero a admis que sa configuration DVN 1/1 pour les actifs de grande valeur créait des risques qu’il n’avait pas anticipés.
• Plusieurs protocoles gérant plus de $1B dans leur infrastructure ont depuis migré vers Chainlink CCIP.