Comment des pirates ont volé 293 millions de dollars à KelpDAO : l’attaque exploitant un seul nœud vulnérable
Des pirates ont dérobé près de 300 millions de dollars en tirant parti du fait que KelpDAO avait confié l’intégralité de sa sécurité à un unique nœud technique. Il ne s’agissait pas d’une faille du protocole LayerZero lui-même — mais plutôt d’une mauvaise configuration par l’un de ses utilisateurs. Pourtant, les conséquences se sont propagées dans tout l’écosystème DeFi : les investisseurs se sont précipités pour retirer leurs fonds, et le marché a une fois encore remis en question la fiabilité réelle des ponts interchaînes.
Pourquoi un seul nœud équivaut à une seule porte d’une banque
Imaginez que vous construisez un coffre-fort pour votre argent. Au lieu d’y installer trois serrures provenant de fabricants différents, vous n’en installez qu’une seule — et vous en confiez la clé à votre voisin. Si ce voisin est compromis ou commet une erreur, votre coffre s’ouvre. C’est exactement ainsi que fonctionnait le système de sécurité de KelpDAO.
Le protocole LayerZero permet à différentes blockchains de « communiquer » entre elles — par exemple, pour transférer des jetons depuis Ethereum vers Solana. À cette fin, il repose sur des « nœuds vérificateurs ». Idéalement, il devrait y avoir plusieurs vérificateurs indépendants, répartis sur des serveurs distincts. Si l’un d’eux ment, les autres le contredisent.
Mais KelpDAO n’utilisait qu’un seul de ces vérificateurs — celui fourni directement par LayerZero. Cela violait le principe fondamental de « ne pas mettre tous ses œufs dans le même panier ». Les pirates en ont immédiatement profité.
Déroulé de l’attaque : mensonges, attaques DDoS et disparition sans trace
L’enquête a révélé que les attaquants opéraient comme de véritables espions professionnels :
- Dans un premier temps, ils ont obtenu la liste des serveurs (nœuds RPC) que LayerZero utilise pour ses communications.
- Ensuite, ils ont compromis deux serveurs indépendants hébergés chez des fournisseurs différents, puis y ont déployé un logiciel malveillant.
- Puis, ces serveurs ont commencé à envoyer au système un message falsifié : « Voici le transfert de jetons », alors qu’aucun transfert réel n’avait eu lieu.
- Pour s’assurer que le système acheminerait systématiquement les requêtes uniquement vers ces serveurs, les pirates ont lancé une attaque DDoS contre tous les autres nœuds — les submergeant de requêtes factices et provoquant leur saturation.
- Le système a automatiquement basculé vers les serveurs « silencieux » et « réactifs », mais compromis — et a accepté leur mensonge comme une vérité.
- Enfin, les attaquants ont tout effacé : journaux, configurations et même le code malveillant lui-même. Aucune trace n’est restée.
Résultat : les pirates se sont emparés de 116 500 jetons rsETH (ETH restaké), une version « renforcée » de l’ETH utilisée dans les systèmes de restaking. Ils ont ensuite déposé ces jetons en garantie sur Aave V3 et emprunté du wETH. Aave a accepté la garantie comme légitime, bien que l’actif sous-jacent ait déjà été volé. Cela a généré une dette non couverte — et déclenché la panique parmi les utilisateurs.
Corée du Nord ? Possible — mais aucune preuve pour l’instant
L’équipe de LayerZero a indiqué que l’attaque avait probablement été menée par le groupe Lazarus — une organisation de pirates informatiques bien connue, basée en Corée du Nord. Sa subdivision, TraderTraitor, se spécialise dans le vol de cryptomonnaies. Toutefois, les analystes insistent : aucune preuve directe ne relie actuellement Lazarus à cet incident. L’attribution repose exclusivement sur les schémas d’attaque et les techniques d’obfuscation employées.
Un point crucial : même si Lazarus était impliqué, la vulnérabilité ne provenait pas du code de LayerZero — mais de la configuration de KelpDAO. Le protocole lui-même n’a jamais été piraté ; il a simplement été mal utilisé.
Principaux enseignements
- KelpDAO ne comptait que sur un seul nœud vérificateur, violant un principe fondamental de sécurité DeFi.
- Les pirates ont mené une attaque en plusieurs étapes : compromission de serveurs + attaque DDoS + falsification de données + effacement des traces.
- 116 500 rsETH ont été volés, soit environ 293 millions de dollars au cours du marché.
- L’attaque n’a pas affecté les autres projets LayerZero — le problème était local, mais elle a déclenché une peur systémique.
- LayerZero s’est depuis remis, mais la confiance dans les ponts interchaînes reste temporairement ébranlée.
Ce que cela signifie pour les utilisateurs ordinaires
Si vous détenez des fonds dans des protocoles DeFi — surtout nouveaux ou moins connus — il vaut la peine de vérifier : à quel point leur modèle de sécurité est-il décentralisé ? Utilisent-ils plusieurs sources de vérification indépendantes ? La plupart des grandes plateformes font désormais cela correctement — mais ce n’est pas le cas de toutes.
Par ailleurs, des attaques de ce type nous rappellent que, même lorsque la technologie sous-jacente fonctionne parfaitement, l’erreur humaine — dans la configuration, le choix des paramètres ou le jugement opérationnel — peut encore tout faire tomber. Le marché de la cryptomonnaie mûrit — mais les risques persistent, notamment là où les équipes déploient hâtivement de nouvelles fonctionnalités sans valider rigoureusement les fondamentaux.
— Editorial Team