David Schwartz, CTO émérite chez Ripple, a identifié un schéma dans les vulnérabilités de sécurité des ponts après que le pont rsETH de Kelp DAO a été exploité pour environ $292 million. Lors de son évaluation des systèmes de pont DeFi pour l’usage du RLUSD, Schwartz a observé que les fournisseurs de ponts mettaient systématiquement en priorité moindre leurs mécanismes de sécurité les plus robustes au profit de la commodité, un schéma qu’il pense avoir pu contribuer à l’incident de Kelp DAO.
Le pitch de vente des fonctionnalités de sécurité
Dans son analyse partagée sur X, Schwartz a décrit comment les fournisseurs de ponts faisaient la promotion de fonctionnalités de sécurité avancées de manière très visible, puis suggéraient immédiatement que ces fonctionnalités étaient optionnelles. « En pratique, ils ont généralement recommandé de ne pas utiliser les mécanismes de sécurité les plus importants, parce qu’ils ont des coûts de commodité et de complexité opérationnelle », a-t-il écrit.
Schwartz a noté qu’au cours des discussions d’évaluation du RLUSD, les fournisseurs ont mis l’accent sur la simplicité et la facilité d’ajouter plusieurs chaînes « avec l’hypothèse implicite que nous ne nous donnerions pas la peine d’utiliser les meilleures fonctionnalités de sécurité qu’ils avaient ». Il a résumé la contradiction : « Leur argument de vente, c’était qu’ils ont les meilleures fonctionnalités de sécurité mais qu’elles sont faciles à utiliser et à mettre à l’échelle, en supposant que vous n’utilisiez pas les fonctionnalités de sécurité. »
Ce qui est arrivé à Kelp DAO
Le 19 avril, Kelp DAO a identifié une activité transfrontalière suspecte impliquant rsETH et a mis en pause des contrats sur le réseau principal et sur plusieurs réseaux de couche 2. Environ 116 500 rsETH ont été vidés via des appels de contrats liés à LayerZero, d’une valeur d’environ $292 million aux prix actuels.
L’analyse en chaîne de D2 Finance a retracé la cause racine à une fuite de clé privée sur la chaîne source, qui a créé un problème de confiance avec les nœuds OApp que l’attaquant a exploités pour manipuler le pont.
Configuration de sécurité de LayerZero
LayerZero lui-même offre des mécanismes de sécurité robustes, y compris des réseaux de vérification décentralisés. Schwartz a émis l’hypothèse qu’une partie du problème pourrait venir du fait que Kelp DAO a choisi de ne pas utiliser les fonctionnalités de sécurité clés de LayerZero « par commodité ».
Les enquêteurs examinent si Kelp DAO a configuré son implémentation de LayerZero avec une configuration de sécurité minimale—plus précisément, un point de défaillance unique avec LayerZero Labs comme seul vérificateur—plutôt que d’utiliser les options plus complexes, mais nettement plus sécurisées, disponibles via le protocole.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Des pirates nord-coréens dérobent $600M en avril à Drift Protocol et attaquent Kelp DAO
D'après TRM Labs, des pirates liés à la Corée du Nord ont volé environ 600 millions de dollars en cryptomonnaies en avril, à la suite d'attaques contre Drift Protocol et Kelp DAO, représentant 76% des pertes totales du mois. Le rapport estime qu’en 2017, des pirates associés à la Corée du Nord ont volé plus de 6 milliards de dollars
GateNewsIl y a 3h
Syndicate perd $380K en actifs à cause d’une fuite de clé privée, des contrats de pont ont été mis à niveau de manière malveillante le 1er mai
D’après la déclaration officielle de Syndicate du 1er mai, une fuite de clé privée a entraîné des mises à jour malveillantes des contrats de pont sur deux blockchains, aboutissant au vol d’environ 18,5 millions de tokens SYND (d’une valeur de 330 000 dollars) et $50K d’actifs clients. La société a attribué la vulnérabilité à priva
GateNewsIl y a 3h
Des hackers nord-coréens ont drainé 285 millions de dollars de Drift lors d'une opération de plusieurs mois
D'après l'analyse du cabinet d'intelligence en matière de cybersécurité, des pirates soutenus par l'État nord-coréen ont drainé 285 millions de dollars depuis Drift grâce à une opération prolongée en personne en 2026. Les pirates représentent 76 % de toutes les pertes liées aux arnaques et aux piratages de crypto cette année et ont volé 6 milliards de dollars
GateNewsIl y a 4h
La plateforme d’échange de cryptomonnaies Grinex a été vidée de 13,7 millions de dollars en avril 2026, ses opérations ont été suspendues
D’après une enquête de Global Ledger publiée en avril 2026, Grinex, un échange de crypto-monnaie sous sanctions opérant depuis le Kirghizistan, a été vidé d’environ 13,7 millions de dollars et a immédiatement suspendu ses activités. Grinex était apparu en mars 2025 comme une successeur apparent de Garantex, un
GateNewsIl y a 7h
