Chargement des prix…
🩸BEARISH

LayerZero reconnaît sa faute après l'exploit de Kelp DAO à 292 M$

L'exploit de Kelp DAO, qui a coûté 292 M$, a mis au jour une configuration à vérificateur unique que LayerZero reconnaît aujourd'hui comme une erreur de conception — ainsi qu'un incident de multisig vieux de 3,5 ans, resté sous silence jusqu'à vendredi.

LayerZero a publié vendredi un billet de blog présentant ses excuses pour sa communication défaillante durant les trois semaines écoulées depuis l'exploit de Kelp DAO, qui a coûté 292 millions de dollars, concédant qu'elle n'aurait jamais dû autoriser son DVN à agir comme vérificateur unique pour les transactions de grande valeur.

Pourquoi c'est important

Le protocole a attribué l'attaque au groupe Lazarus de Corée du Nord, qui, selon lui, aurait compromis des nœuds RPC internes et mené des attaques DDoS sur des nœuds externes afin de forger un message inter-chaînes. LayerZero a également révélé un incident jusque-là non communiqué, remontant à environ trois ans et demi, dans lequel un signataire de multisig avait utilisé son portefeuille matériel de production pour effectuer une transaction personnelle — un aveu tardif qui tombe mal, en parallèle du post-mortem d'une perte à neuf chiffres.

Impact sur le marché

LayerZero a annoncé une série de mesures de sécurité, dont la fin du support de la configuration 1/1 DVN. La leçon structurelle pour les infrastructures inter-chaînes : un vérificateur unique est un point de compromission unique, et l'attribution à un acteur étatique ne renforce pas rétroactivement la sécurité du pont.

Tokens associés
$ZRO

Questions fréquemment posées

  1. Que s'est-il passé lors de l'exploit de Kelp DAO ?

    Selon LayerZero, le groupe Lazarus de Corée du Nord a compromis des nœuds RPC internes et mené des DDoS sur des nœuds externes pour forger un message inter-chaînes, dérobant 292 millions de dollars. Le protocole a depuis présenté ses excuses pour sa communication durant les trois semaines qui ont suivi l'attaque.

  2. Qu'est-ce que la configuration 1/1 DVN que LayerZero abandonne ?

    Une configuration 1/1 DVN repose sur un vérificateur unique — celui de LayerZero lui-même — pour valider les messages inter-chaînes. LayerZero a reconnu que cela n'aurait jamais dû être autorisé pour les transactions de grande valeur et a annoncé la fin du support de cette configuration.

  3. Quel incident non divulgué LayerZero a-t-elle révélé ?

    LayerZero a révélé un incident jusque-là non communiqué, remontant à environ 3,5 ans, dans lequel un signataire de multisig avait utilisé son portefeuille matériel de production pour effectuer une transaction personnelle. Le protocole n'a pas expliqué pourquoi il choisit de rendre cet incident public maintenant.

  4. Qui est le groupe Lazarus et pourquoi l'attribution de LayerZero est-elle importante ?

    Lazarus est un groupe de hackers lié à l'État nord-coréen, longtemps associé à des vols crypto de grande ampleur. Attribuer l'exploit de Kelp DAO à Lazarus revient à le présenter comme un incident impliquant un acteur étatique plutôt qu'un simple exploit opportuniste — mais nommer l'attaquant après coup ne renforce…

  5. Quelles mesures de sécurité LayerZero met-elle en place ?

    LayerZero a annoncé une série de mesures de sécurité, dont la fin du support de la configuration 1/1 DVN. Le protocole n'a pas détaillé l'ensemble complet de ces mesures dans son billet.

Attribution de la source
Agrégé de TheBlock · Vérifié · Dernière mise à jour il y a 58d
Ouvrir l'original →