LayerZero a présenté publiquement ses excuses vendredi pour son rôle dans l'exploit du 18 avril qui a siphonné environ 292 millions de dollars du pont rsETH de Kelp DAO. Le protocole de messagerie cross-chain a concédé une erreur critique : en permettant à son propre validateur d'opérer comme seul vérificateur pour les transactions de grande valeur, une configuration connue sous le nom de 1/1 DVN. Cette admission marque un moment significatif pour un projet souvent au centre de l'interopérabilité cross-chain, mettant en lumière une lacune de sécurité fondamentale.
La vulnérabilité découlait directement de ce modèle de vérification centralisé. Au lieu d'un réseau robuste et décentralisé de validateurs indépendants, le propre nœud de LayerZero était le point de défaillance unique. Cette configuration 1/1 DVN signifiait que si le validateur de LayerZero était compromis – que ce soit par une fuite de clé privée, un exploit logiciel ou une menace interne – l'ensemble du mécanisme de sécurité pour cette transaction s'effondrait. Les 292 millions de dollars en rsETH ont été siphonnés sans aucune vérification secondaire, exposant une faille flagrante dans l'architecture du pont.
Pour Kelp DAO et ses détenteurs de rsETH, l'impact financier est sévère. L'incident représente non seulement l'un des plus grands hacks de ponts cette année, mais érode également profondément la confiance dans les promesses de sécurité des solutions cross-chain. De tels exploits déclenchent fréquemment des inquiétudes plus larges sur le marché, alors que les investisseurs réévaluent les risques systémiques inhérents aux écosystèmes blockchain interconnectés. La crise de liquidité immédiate pour les détenteurs de rsETH et le potentiel d'effets en cascade sur les protocoles DeFi qui intègrent le rsETH sont des préoccupations pressantes.
Cet incident spécifique contribue à un sentiment baissier plus large sur l'ensemble du marché crypto. Les actifs majeurs comme Bitcoin et Ethereum ressentent souvent les effets d'entraînement des brèches de sécurité significatives, à mesure que les flux de capitaux deviennent plus prudents. Les traders intègrent rapidement des primes de risque accrues, surtout lorsqu'un fournisseur d'infrastructure de premier plan comme LayerZero admet une telle négligence fondamentale. La crainte est que si un composant essentiel de la communication cross-chain est vulnérable, d'autres systèmes interconnectés pourraient également faire face à des risques imprévus, incitant à un mouvement général de désensibilisation au risque.
Le billet de blog de LayerZero, bien qu'il contienne des excuses, n'a pas immédiatement détaillé de mesures concrètes de restitution ni de feuille de route de sécurité révisée. Le marché surveillera désormais de près les propositions spécifiques visant à décentraliser son processus de vérification, à mettre en œuvre le calcul multipartite (MPC) ou les signatures à seuil, et à améliorer les protocoles d'audit. Toute chronologie claire pour une refonte de la sécurité et les efforts potentiels de récupération pour les utilisateurs affectés seront essentiels pour rétablir la confiance. Jusque-là, l'incident sert de rappel brutal des vulnérabilités persistantes dans le paysage des ponts et du besoin urgent d'une sécurité rigoureuse et multicouche.
LayerZero admet sa faute dans le hack de Kelp à 292 M$, cite une faille de validateur unique
LayerZero a présenté ses excuses pour son rôle dans l'exploit de 292 millions de dollars de Kelp DAO, admettant qu'il n'aurait pas dû permettre à son propre validateur d'être le seul vérificateur pour les transactions de grande valeur. Cet incident met en lumière une faille de sécurité majeure dans la configuration du protocole.