Le piratage KelpDAO du 18 avril, qui a coûté 292 millions de dollars en rsETH, a déclenché des pauses de précaution dans au moins 30 protocoles qui utilisent LayerZero comme infrastructure pour déplacer des actifs entre différents réseaux. Aucune perte de fonds n’a été signalée et les suspensions sont préventives, prises par chaque projet indépendamment pendant que l’enquête sur l’exploit reste ouverte.
Les projets qui ont suspendu leurs opérations l’ont fait parce que tout le monde partage l’infrastructure de LayerZero et, face à l’incertitude quant à la véritable portée de l’attaque, ils ont choisi de suspendre avant de confirmer si leur propre configuration les exposait au même risque que KelpDAO.
Parmi ces 30 projets figurent :
- Curve Finance a suspendu le pontage du jeton CRV des réseaux tels que BNB Chain et Avalanche, entre autres.
- TRON DAO a suspendu le pont OFT (mécanisme standard de transfert de jetons entre chaînes) de sa crypto-monnaie native TRX.
- Morpho, comme TRON DAO, a suspendu le pont OFT du token MORPHO sur Arbitrum.
- BitGo et Wrapped Bitcoin (WBTC) ont arrêté conjointement les canaux dits LayerZero DVN qui permettent le mouvement du jeton WBTC (une version enveloppée de Bitcoin) jusqu’à confirmer la sécurité du réseau.
- L’USDT0, la version négociable entre chaînes de l’USDT de Tether, a paralysé son infrastructure de transition en précisant que tous ses jetons restent adossés à 1 pour 1 par l’USDT.
Compléter la liste des projets en pause : Ethena, ether.fi, River, Pudgy Penguins, Agora, f(x) Protocol, Matrixdock, ApeCoin, Euler Labs, Katana, Orderly Network, mETH Protocol, Solv Protocol, MOCA Coin, Re, Avant, Beefy Finance, Flare Networks, Lombard, infiniFi, Suilend, Kamino, Swell et Frax Finance.
LayerZero tient KelpDAO pour responsable du piratage
Comme le rapporte CriptoNoticias, l’équipe derrière LayerZero a insisté sur le fait que son protocole fonctionnait correctement et que l’attaque aurait été possible à la suite d’une erreur opérationnelle de KelpDAO. De plus, l’équipe du protocole d’interopérabilité a reproché à KelpDAO d’avoir ignoré ses recommandations de sécurité.
Selon un rapport publié par LayerZero, KelpDAO fonctionnait avec une configuration DVN 1 sur 1, ce qui implique s’appuyer sur un seul vérificateur de transaction entre les chaînes qui était le propre DVN de LayerZero Labs, sans aucun vérificateur indépendant supplémentaire.
Dans cette logique, un projet avec plusieurs vérificateurs indépendants aurait bloqué l’attaque même si le DVN de LayerZero Labs avait été compromis de la même manière qu’il l’était dans KelpDAO. Les 30 projets suspendus n’ont pas signalé de pertes, mais ils n’ont pas non plus confirmé publiquement quelle configuration ils utilisaient, ce qui explique la prudence.
Cependant, la réaction massive révèle que l’argument technique n’a pas suffi à contenir la perte de confiance dans les infrastructures partagées. Aucune des communications disponibles n’établit de date de reprise.
