Récemment, une faille de sécurité assez grave a été révélée dans l'écosystème DeFi, j'ai examiné les données pertinentes, et l'impact de l'incident est plus étendu que prévu.

Le pont cross-chain de Kelp DAO a été attaqué par un hacker à la mi-avril, avec une perte allant jusqu'à 292 à 294 millions de dollars, ce qui constitue le plus grand incident de sécurité dans le domaine DeFi cette année. Le hacker a falsifié des messages cross-chain et a volé en une seule fois 116 500 rsETH, puis a tenté de déplacer encore 80 000, mais a été stoppé à temps par Kelp DAO et la suspension du contrat.

Ce qui est encore plus inquiétant, c'est que cette attaque a déclenché un effet domino. Le hacker a utilisé le rsETH volé comme garantie pour emprunter de grandes quantités de WETH et ETH sur des protocoles de prêt populaires comme Aave, SparkLend, Fluid. Une fois que le rsETH a été marqué comme actif déprécié, ces plateformes ont immédiatement fait face à d'énormes créances douteuses. Aave a réagi rapidement en gelant les marchés rsETH sur V3 et V4, mais les pertes sur les autres plateformes étaient déjà inévitables.

L'origine de cet incident réside en réalité dans une vulnérabilité du pont cross-chain construit par LayerZero. Le hacker a d'abord utilisé Tornado Cash pour préparer ses fonds, puis a attendu environ 10 heures avant d'agir, exploitant la vulnérabilité via la fonction lzReceive. Fait intéressant, l'attaque a eu lieu pendant un week-end, ce qui a ralenti la réaction des différentes plateformes, révélant ainsi une faiblesse dans la gestion des urgences en DeFi.

Je remarque que cet incident illustre bien le risque de la « construction en Lego » — une faille dans un seul pont cross-chain peut rapidement affecter tout l'écosystème. Le hacker a déjà converti environ 250 millions de dollars de tokens volés en ETH, et les flux de fonds sont désormais traçables sur la blockchain.

Kelp DAO a réagi assez rapidement, en lançant un mécanisme d'urgence en 46 minutes, en suspendant les contrats rsETH sur le réseau principal Ethereum et plusieurs L2, et en collaborant avec LayerZero et une société d'audit de sécurité pour enquêter. Cependant, la liquidité cross-chain a été gravement affectée, et les wrapped ETH sur plusieurs chaînes sont en difficulté.

Pour ceux qui ont des fonds en staking sur des plateformes DeFi, la démarche la plus prudente actuellement est de retirer rapidement leur argent vers un portefeuille en custodial. Étant donné que d'autres plateformes pourraient également suspendre les retraits, il vaut mieux agir vite. Les équipes de recherche en sécurité suivent toujours l'adresse du hacker, aucune solution de compensation n'a encore été annoncée, il faut donc rester attentif aux annonces officielles.