LayerZero répond à l’événement de 292 M$ du Kelp DAO : indique que Kelp a configuré un DVN 1 sur 1 pour son propre choix, et que le pirate est le Lazarus nord-coréen.

Le protocole de messagerie inter-chaînes LayerZero, le 20 avril à midi (heure de Taïwan), a publié une déclaration officielle détaillée via le compte X officiel, en réponse à l’attaque qui a ciblé Kelp DAO et entraîné la perte de 292 millions de dollars survenue il y a deux jours. D’après un article de CoinDesk, LayerZero attribue clairement la cause de l’incident au fait que Kelp DAO « a choisi de l’utiliser avec une configuration unique de 1-of-1 DVN (single verifier) », et pour la première fois, attribue l’attaque au commando TraderTraitor du groupe nord-coréen Lazarus — le même groupe de pirates étant également considéré comme l’exécutant de l’incident de 285 millions de dollars du 1er avril touchant Drift Protocol.

Qu’est-ce que le 1-of-1 DVN

LayerZero v2 utilise une architecture DVN (Decentralized Verifier Network). Lors du déploiement d’un projet, il est possible de choisir librement d’utiliser « combien de nœuds de validateurs indépendants » pour former un consensus, allant de 1-of-1 (un seul nœud) à M-of-N (requérant l’accord de la majorité). Le nombre de DVN détermine les limites de tolérance aux pannes : en 1-of-1, le simple fait que ce seul nœud soit compromis permet de falsifier les messages inter-chaînes ; en M-of-N, il faut compromettre plus de la moitié des nœuds pour pouvoir les falsifier.

Dans sa déclaration, LayerZero indique : « KelpDAO a choisi d’utiliser une configuration 1-of-1 DVN. Une architecture de validateurs multiples correctement configurée exigera un consensus entre plusieurs DVN indépendants ; même si n’importe quel validateur unique est compromis, l’attaque restera inefficace. » La liste officielle de vérifications d’intégration ainsi que les communications directes avec Kelp ont toutes déjà recommandé d’adopter une conception redondante de validateurs multiples.

Méthode d’attaque : le binaire du nœud RPC est remplacé, tromper de manière sélective

LayerZero révèle les détails techniques de l’attaque. Les attaquants ont compromis deux nœuds RPC (Remote Procedure Call) utilisés par les validateurs de LayerZero pour lire et écrire des données on-chain — les validateurs de LayerZero combinent des nœuds RPC internes et externes afin d’ajouter de la redondance. Les pirates ont remplacé le logiciel binaire natif exécuté sur ces deux nœuds par une version malveillante modifiée.

La conception du binaire malveillant est extrêmement subtile : elle ne ment qu’à propos d’un message indiquant « un échange inter-chaînes falsifié est survenu » adressé au validateur de LayerZero, mais à toutes les autres requêtes adressées au même nœud (y compris aux systèmes de surveillance de LayerZero utilisant des requêtes depuis des IP différentes), elle continue à renvoyer les données correctes. Ce « mensonge sélectif » rend l’attaque presque totalement invisible au niveau de surveillance de LayerZero.

Lazarus retire 575 millions de dollars de DeFi en 18 jours

LayerZero attribue l’attaque au commando TraderTraitor du groupe nord-coréen Lazarus, et le qualifie de « première attribution à haute fiabilité ». Le même commando aurait auparavant été l’exécuteur de l’incident du 1er avril touchant Drift Protocol de 285 millions de dollars — entre les deux événements, il s’est écoulé 18 jours, pour un total de plus de 575 millions de dollars retirés du marché DeFi.

Les structures des parcours des deux attaques sont totalement différentes : Drift a utilisé une attaque d’ingénierie sociale contre les signataires du gouvernance (la Corée du Nord se faisant passer pour une identité afin d’amener des détenteurs de multi-signature à signer une transaction malveillante) ; Kelp, lui, a trompé le protocole via l’infection de la couche d’infrastructure (nœuds RPC). Cela signifie que la capacité d’attaque DeFi de Lazarus a dépassé la frontière traditionnelle des « failles de smart contract » et s’étend désormais dans deux directions parallèles : « attaquer les personnes » et « attaquer l’infrastructure ».

Les trois positions de LayerZero

Dans sa déclaration, LayerZero avance trois positions claires. Premièrement, l’incident provient d’un choix de configuration de Kelp et non d’une vulnérabilité au niveau du protocole ; deuxièmement, après des vérifications exhaustives, il a été confirmé que toutes les autres applications sur le protocole n’ont pas de risque connexe (les applications utilisant la norme OFT + des applications à validateurs multiples ne sont pas affectées) ; troisièmement, à partir de maintenant, LayerZero ne signera plus les messages pour toute application utilisant une configuration de 1-of-1 de validateurs, et force tous les intégrateurs à passer à une architecture à validateurs multiples.

Il s’agit de la première fois que LayerZero fixe un « seuil de sécurité minimal » au niveau du protocole — auparavant, les validateurs multiples n’étaient que « recommandés », et désormais cela devient une exigence. Cette mesure constitue à la fois un moyen de couper la responsabilité de l’affaire Kelp et un signal de montée en sécurité collective pour tout l’écosystème DeFi. Pour les rares projets qui n’ont pas encore migré vers une configuration de validateurs multiples, ils pourraient faire face à un risque de retrait dans la semaine.

La responsabilité fait encore débat

LayerZero attribue clairement la responsabilité au choix de configuration de Kelp, mais les avis de la communauté externe ne sont pas unanimes. Certains observateurs DeFi indiquent que puisque le protocole prend en charge par défaut une configuration extrêmement fragile de 1-of-1, et qu’il manque un seuil DVN minimal imposé, on ne peut pas attribuer l’entière responsabilité au client. On observe aussi un schéma similaire visible lors de l’affaire RAVE plus tôt cette semaine : la frontière de responsabilité entre les fournisseurs d’infrastructure (exchanges / protocoles) et la couche d’application (projets de création de tokens / projets) est devenue une controverse structurelle dans l’écosystème DeFi en 2026.

Concernant le risque de liquidation pour les utilisateurs de Kelp DAO affectés ainsi que pour des protocoles de prêt comme Aave, SparkLend, Fluid, LayerZero n’a pas fourni de方案 de compensation ; Kelp DAO officiel n’a pas encore non plus divulgué de détails sur l’indemnisation. La prochaine semaine mettra l’accent sur les points suivants : le calendrier d’application de la politique de validateurs multiples imposée par LayerZero, le nombre de projets qui utilisent encore 1-of-1, et si Kelp pourra compenser partiellement les pertes des utilisateurs via des réserves internes ou avec l’aide de LayerZero.

Cet article : la réponse de LayerZero à l’incident de 292 millions de dollars de Kelp DAO — il s’agit du fait que Kelp a choisi la configuration de 1-of-1 DVN, et que l’attaquant était le Lazarus nord-coréen ; apparaît le plus tôt sur 鏈新聞 ABMedia.