Vous vous souvenez du vol de 292 millions de dollars qui a secoué le monde de la cryptographie l'année dernière ? Jusqu'à présent, les deux parties continuent de se rejeter la faute, ce qui rend la situation quelque peu embarrassante.

Voici ce qui s'est passé. En avril de l'année dernière, Kelp DAO a été victime d'une attaque de hackers, qui ont volé 116 500 rsETH, établissant ainsi le plus grand vol de DeFi cette année-là. Plus tard, l'enquête a révélé que le cerveau derrière tout cela était très probablement l'organisation de hackers nord-coréenne Lazarus. Cette organisation a déjà commis plusieurs grands crimes auparavant, et leur attaque cette fois-ci était également très professionnelle — ils ont d'abord infiltré le nœud de validation DVN de LayerZero, y ont injecté un virus dans deux de ses nœuds RPC, puis ont lancé une attaque DDoS contre d'autres nœuds, et enfin ont réussi à tromper le système pour signer une transaction de vol de fonds.

LayerZero a ensuite publié un rapport d'enquête, accusant directement Kelp DAO d'avoir utilisé une configuration vulnérable appelée « 1-of-1 DVN », la qualifiant de bombe à retardement intégrée dans le système. Ils ont également souligné qu'ils avaient plusieurs fois conseillé à Kelp de disperser la configuration des nœuds, mais que celui-ci n'avait pas écouté.

Après avoir été accusé, Kelp DAO a répliqué avec vigueur. Ils ont publié une déclaration sur X (anciennement Twitter) disant que cette configuration de validation à point unique était en fait une option par défaut mentionnée dans la documentation officielle de LayerZero, et qu'ils ne l'avaient pas choisie arbitrairement. Kelp a aussi indiqué qu'ils utilisaient l'infrastructure de LayerZero depuis janvier 2024, que la communication entre les deux parties était toujours fluide, et qu'ils avaient discuté de la configuration DVN lors de l'expansion vers Layer 2, avec la confirmation de LayerZero que cette configuration était appropriée à l'époque.

Ce qui est intéressant, c'est que les deux parties se rejettent mutuellement la responsabilité dans cette affaire de faille de sécurité. Kelp DAO a finalement insisté sur le fait qu'ils avaient pris des mesures d'urgence dès le début, suspendu les contrats concernés, et mis le portefeuille du hacker sur une liste noire, ce qui aurait permis de maîtriser la situation. Quant aux mesures de sécurité renforcées à venir, l'équipe de Kelp a indiqué qu'elles étaient encore en cours d'évaluation.

D'un certain point de vue, cette affaire soulève une question classique : la responsabilité incombe-t-elle au fournisseur d'outils pour s'assurer que l'utilisateur choisit la bonne configuration, ou l'utilisateur doit-il lui-même assumer la responsabilité de ses décisions de sécurité ? La manœuvre de Lazarus n'a pas grand-chose à dire, mais cette polémique sur la responsabilité reflète certains problèmes profonds dans l'écosystème DeFi.