Le talon d’Achille de la crypto : comment le groupe Lazarus de Corée du Nord a dérobé 290 millions de dollars à Kelp DAO

Un dimanche soir tranquille, alors que la majorité du monde crypto surveillait les marchés, un braquage numérique s’est déroulé, provoquant une onde de choc à travers la finance décentralisée. Le tristement célèbre groupe Lazarus, soutenu par la Corée du Nord et connu pour ses cybercrimes à haut risque, a mené une attaque méticuleusement planifiée contre Kelp DAO, siphonnant la somme vertigineuse de 290 millions de dollars en actifs numériques. La faille a révélé de profondes vulnérabilités dans la sécurité DeFi et déclenché un jeu de reproches entre les créateurs du protocole et l’infrastructure sur laquelle ils s’appuyaient.

En bref

• Montant du vol : 116 500 rsETH (restaked ether) d’une valeur de 290 millions de dollars volés à Kelp DAO
• Auteurs présumés : Sous-groupe TraderTraitor du groupe Lazarus nord-coréen
• Vecteur d’attaque : Usurpation RPC et empoisonnement du réseau de vérification décentralisé (DVN) de LayerZero
• Conséquences : Le protocole Aave a perdu 8 milliards de dollars de valeur ; 195 millions de dollars de dette créés sur Aave v3
• Lacune de sécurité : Kelp DAO fonctionnait avec un point de confiance unique dans son système de vérification, malgré les avertissements

Anatomie d’un braquage numérique

L’attaque a commencé par une instruction empoisonnée, délivrée à 17h35 UTC, qui a vidé 116 500 rsETH des coffres de Kelp DAO. Les hackers ont exploité une faiblesse dans la configuration de sécurité de Kelp DAO : une « configuration de vérificateur 1-sur-1 ». Cela signifiait qu’un seul nœud validait les instructions cruciales, créant ainsi un point de défaillance unique. Les attaquants ont ciblé LayerZero, l’infrastructure de messagerie cross-chain utilisée par Kelp DAO pour vérifier les instructions blockchain, et ont compromis son réseau de vérification décentralisé (DVN).

Le DVN de LayerZero est censé garantir qu’aucune entité unique ne puisse approuver des transactions malveillantes. Pourtant, les hackers sont parvenus à usurper deux des appels de procédure à distance (RPC) du réseau, y injectant des charges utiles personnalisées qui se faisaient passer pour des messages légitimes. Pour parachever la brèche, ils ont lancé une attaque par déni de service distribué (DDoS) contre les autres RPC restants, forçant le système à s’appuyer sur les points compromis. Les instructions malveillantes sont ainsi passées, siphonnant des millions en quelques secondes.

LayerZero affirme que cette attaque aurait pu être évitée si Kelp DAO avait diversifié son DVN, conformément aux meilleures pratiques du secteur. Malgré des recommandations répétées, Kelp DAO a maintenu sa configuration à vérificateur unique. De son côté, Kelp DAO soutient avoir suivi les paramètres par défaut documentés par LayerZero et avoir maintenu une communication continue avec LayerZero concernant leurs choix d’infrastructure.

Les conséquences ont été rapides et sévères. Aave, un protocole majeur de prêt DeFi, a vu sa valeur totale chuter de 8 milliards de dollars alors que des utilisateurs paniqués retiraient leurs fonds. Les attaquants ont déposé les actifs volés sur Aave v3, les utilisant comme collatéral pour emprunter encore plus de crypto, créant au final un trou de dette de 195 millions de dollars.

À qui la faute, et quelle suite ?

Le jeu de reproches entre Kelp DAO et LayerZero met en lumière un problème plus large : l’innovation rapide de la DeFi se fait souvent au détriment de la sécurité. Tandis que Kelp DAO tente de contenir les dégâts et d’éviter la contagion, l’incident sert d’avertissement sévère pour tout l’écosystème. Alors que les hackers nord-coréens poursuivent leur escalade criminelle numérique, le monde de la DeFi apprendra-t-il enfin à bâtir la sécurité comme fondation, et non comme une réflexion après coup ?

WIKICROOK

• DeFi : DeFi, ou finance décentralisée, propose des services financiers basés sur la blockchain sans banques, permettant des transactions directes entre pairs et un meilleur contrôle utilisateur.
• RPC (Remote Procedure Call) : Le RPC permet à un programme d’exécuter des procédures sur des ordinateurs distants comme s’ils étaient locaux, simplifiant l’informatique distribuée mais nécessitant une sécurité robuste.
• DVN (Decentralized Verifier Network) : Un DVN est un groupe décentralisé de nœuds qui valident et approuvent les transactions blockchain, renforçant la sécurité, la transparence et la résistance à la manipulation.
• Attaque DDoS : Une attaque DDoS consiste à submerger un service de requêtes factices depuis de nombreux ordinateurs, le rendant lent ou indisponible pour les vrais utilisateurs.
• Restaked Ether (rsETH) : Le Restaked Ether (rsETH) est de l’ETH mis en staking sur un protocole puis restaké sur un autre, permettant aux utilisateurs de gagner des récompenses supplémentaires de plusieurs sources.