La lettre ouverte de LayerZero Labs tente d'expliquer les défaillances autour du hack de KelpDAO

LayerZero Labs a publié une lettre ouverte expliquant ses manquements en matière de communication et d'opérations à la suite du piratage de KelpDAO par le groupe Lazarus. La cyberattaque n'a pas affecté le protocole de LayerZero Labs, mais a bien touché ses systèmes internes, amenant la société à reconnaître des erreurs dans ses opérations passées. 

LayerZero Labs a publié sa lettre d'excuses le 8 mai 2026. 

LayerZero reconnaît un usage abusif passé du multisig 

Vers le 19 avril 2026, le groupe Lazarus a attaqué les nœuds RPC internes de LayerZero Labs, utilisés par leur réseau DVN. Les attaquants ont corrompu la source de vérité de ces RPC internes et ont simultanément lancé une attaque DDoS contre le fournisseur RPC externe de LayerZero Labs. LayerZero a précisé que le protocole LayerZero n'a pas été affecté lors de cet incident.

Comme rapporté par Cryptopolitan, le piratage n'a affecté qu'une seule application, soit 0,14 % de toutes les applications LayerZero et 0,36 % de la valeur totale des actifs bridgés sur la plateforme. La brèche a conduit à l'exploit de 300 millions de dollars en rsETH ciblant KelpDAO. 

Dans la lettre d'excuses, LayerZero Labs a également commenté un autre problème de sécurité survenu il y a trois ans et demi. Dans un cas, un signataire a utilisé le portefeuille matériel destiné aux transactions multisig pour une transaction individuelle afin de trader le memecoin McPepes sur Uniswap en utilisant son portefeuille personnel. 

Un signataire a été remplacé, les portefeuilles ont été échangés, et des mesures ont été mises en place pour prévenir des occurrences similaires à l'avenir.

Cela était en contradiction directe avec les déclarations publiques précédentes du co-fondateur de LayerZero, Bryan Pellegrino, qui avait qualifié ces activités de simple « test OFT » moins de 24 heures auparavant. Certains utilisateurs ont relevé la discordance, notant que les memecoins concernés avaient été observés dans de nombreuses transactions depuis le même portefeuille multisig pendant un certain temps. 

Comme rapporté par Cryptopoltan, LayerZero a précisé que leur mécanisme multisig n'autorise que le contrôle sur les fonctionnalités de l'Endpoint, notamment l'ajout de chaînes et les mises à jour des paramètres de test par défaut.

LayerZero pousse les développeurs à améliorer leur sécurité

LayerZero a réaffirmé son architecture fondamentale, conçue pour éliminer les points de défaillance uniques communs aux bridges traditionnels. Chaque application peut gérer indépendamment sa sécurité de bout en bout sans dépendre de LayerZero Labs. 

La société a conseillé aux développeurs de prendre des mesures concrètes : fixer toutes les configurations pour éviter les paramètres par défaut contrôlés par LayerZero Labs ; augmenter les confirmations de blocs sur chaque chaîne pour minimiser les risques de réorganisation ; configurer les DVN avec au moins deux (de préférence trois à cinq) parties indépendantes ; et envisager d'exploiter leur propre DVN requis.

La société a également listé certaines hypothèses concernant la confiance et la vivacité. Les applications par défaut de LayerZero Labs et les DVN qui reposent sur un seul vérificateur s'appuient entièrement sur la confiance accordée au multisig de LayerZero Labs. Les services de relais de gas, tels qu'Essence et les exécuteurs LayerZero, n'affectent que la vivacité.

Après l'événement, LayerZero Labs ne prend plus en charge le DVN dans la configuration 1/1 ; à la place, les paramètres par défaut des chemins ont été mis à niveau vers des configurations 5/5 ou 3/3, dans la mesure du possible, et le développement d'un client DVN en Rust est en cours.

Implications DeFi de la brèche LayerZero 

La réponse à l'attaque a été immédiatement critiquée pour sa tentative initiale de rejeter la responsabilité sur ses partenaires. KelpDAO et Solv Protocol ont déjà migré leurs systèmes vers Chainlink, et Beefy, Ethena, BitGo, Lombard et bien d'autres reconsidèrent leurs intégrations. 

Des inquiétudes subsistent quant à la réduction des volumes de transactions bridgées, des revenus de Stargate et des rachats de tokens $ZRO.

LayerZero Labs a promis 5 000 ETH au plan de sauvetage DeFi United et 5 000 ETH supplémentaires pour maintenir les pools de liquidité d'Aave en réponse à l'attaque. Néanmoins, l'incident a suscité une discussion plus large sur la sécurité des protocoles cross-chain, malgré les excuses exprimées et la promesse d'améliorer le seuil multisig, fixé à 7/10 avec OneSig.

LayerZero Labs affirme que le protocole reste un instrument essentiel pour mener des transactions sûres et importantes, mais il faudra attendre les prochaines semaines pour observer comment les développeurs et les organisations évolueront.

Votre banque utilise votre argent. Vous n'en recevez que des miettes. Regardez notre vidéo gratuite pour apprendre à devenir votre propre banque