Samedi dernier, la communauté de cryptes s'est réveillée avec des nouvelles qui ont une fois de plus mis sur la table un problème récurrent: Les portefeuilles de KelpDAO ont été vidés dans une opération qui, selon les premières enquêtes, indique à un acteur avec de vastes ressources et l'expérience de l'État. Les équipes KelpDAO et LayerZero ont détecté une activité anormale liée à la rsETH, le jeton qui représente des positions redressées, et quelques jours plus tard, il est devenu clair que plus de 100 000 unités de rsETH ont quitté l'écosystème, pour une valeur d'environ 290 millions de dollars.
KelpDAO est un projet de financement décentralisé (DeFi) axé sur la reprise liquide: les utilisateurs déposent ETH, la plateforme reprend ces actifs et émet rsETH afin que les titres continuent à participer à l'économie DeFi sans perdre de liquidité. Cela a également déplacé entre les chaînes en utilisant la couche de messagerie LayerZero, qui permet de communiquer des événements entre différentes chaînes de blocs.
La première réaction publique du projet a été d'interrompre les contrats liés à rsETH dans le réseau principal Etheum et dans les solutions de deuxième couche. KelpDAO a fait état d'une «activité de chaîne croisée judicieuse» et a annoncé qu'elle travaillerait avec des partenaires tels que LayerZero et Unichain pour clarifier ce qui s'était passé; leurs versions initiales peuvent être lues sur leur canal public sur X / Twitter.
La piste dans la chaîne a montré qu'environ 116 500 rsETH ont été déplacés vers des mélangeurs pour cacher l'origine, y compris les passages à travers Tornado Cash, et que les transactions ne correspondaient pas aux opérations légitimes enregistrées dans la chaîne. Un enquêteur indépendant X / Twitter le compte des jetons et la valeur estimée en dollars.
LayerZero, qui gère l'infrastructure de messagerie cross-chain, a publié des indicateurs techniques sur la méthode de l'attaque. Selon leur déclaration, les attaquants n'ont pas cassé directement la cryptographie symbolique mais ont commis des composants critiques de la couche de vérification du message: certains nœuds RPC utilisés par le validateur ont été empoisonnés avec de fausses données, tandis que dans le même temps une attaque de déni de service (DDoS) a été menée contre des nœuds sains pour forcer la dépendance aux sources manipulées.
Le résultat a été que le système a accepté les faux messages de la chaîne, confirmant des opérations qui n'existaient pas réellement dans la chaîne d'origine et permettant le transfert de rsETH sans l'autorisation effective des comptes concernés. Cette combinaison de traitement des données et de saturation des services montre qu'il n'est pas toujours nécessaire de violer les contrats intelligents: attaquer les infrastructures périphériques peut être tout aussi dévastateur.
Dans son évaluation préliminaire, LayerZero a souligné la participation d'un acteur de planification très sophistiqué et à long terme, mentionnant explicitement des signes qui rappellent le groupe Lazare, lié à la Corée du Nord. Ses paroles et son analyse initiale sont disponibles dans sa déclaration publique. votre compte sur X / Twitter.
L'attribution à Lazare n'est pas une surprise pour ceux qui suivent l'histoire récente de la cybercriminalité à grande échelle : ce collectif a été lié à plusieurs soustractions de milliards de dollars dans l'écosystème critique ces dernières années, y compris une autre opération massive contre Drift qui a été évaluée en chiffres comparables. Les entreprises de recherche et les gouvernements ont documenté comment ces acteurs combinent les ressources techniques et humaines pour mettre en oeuvre des campagnes complexes.
L'impact pratique a également atteint des protocoles qui avaient accepté la rsETH comme garantie. Aave, par exemple, a indiqué qu'elle avait bloqué les dépôts et les prêts en utilisant rsETH jusqu'à ce que la situation soit clarifiée; son annonce officielle est disponible à l'adresse suivante: X / Twitter. Cette réaction illustre la cascade de précautions qui peut être activée lorsqu'un actif de référence perd de sa fiabilité : non seulement le projet attaqué en souffre, mais aussi ceux qui l'ont intégré dans leurs marchés.
Au-delà du choc économique immédiat, cet incident met à nouveau en évidence deux faiblesses structurelles: la dépendance des nœuds externes de la RPC et la fragilité de certains mécanismes de vérification à chaîne croisée. Lorsqu'une couche qui centralise la validation est compromise, toute la confiance qui lui avait été déléguée est annulée. La communauté technique discute depuis longtemps des solutions : une plus grande décentralisation des oracles, des systèmes de vérification redondants et des tests cryptographiques pour vérifier l'authenticité des messages sans compter sur un petit ensemble de nœuds fiables.
La tension entre traçabilité et vie privée réapparaît également: l'opération a utilisé des mélangeurs comme Tornado Cash pour essayer de cacher la trace des fonds. Bien que tous les mouvements se produisent dans les chaînes de blocs publiques, la combinaison des techniques d'utilisation et la vitesse des conversions complique le travail de suivi, bien que les laboratoires médico-légaux dans la chaîne de verrouillage et les forces de sécurité aient parfois réussi à suivre l'argent et récupérer des actifs lorsqu'il y a des erreurs opérationnelles de l'agresseur.
Pour les utilisateurs et les administrateurs de protocole cela apporte des leçons claires: la sécurité ne se termine pas dans le contrat intelligent. Des audits contractuels sont encore nécessaires, mais pas suffisants; il est nécessaire de considérer la sécurité comme une chaîne dans laquelle chaque maillon - nœuds RPC, messagerie en chaîne, services d'indexation et oracles - doit résister aux attaques combinées et au sabotage de la disponibilité.
Ceux qui s ' intéressent à l ' analyse du phénomène et aux rapports sur les acteurs de l ' État peuvent consulter des entreprises spécialisées et des technologies. LayerZero et KelpDAO ont publié des mises à jour sur leurs canaux officiels, et des organisations comme Elliptique ou Analyse en chaîne ils publient souvent des recherches sur les flux illicites dans les chaînes. Pour un contexte médiatique plus large, comme Reuters et PièceDesk couvrir régulièrement ces incidents et leur contexte géopolitique.
En bref, l'assaut contre KelpDAO est un rappel brut que l'innovation DeFi et l'interopérabilité entre les chaînes apportent des avantages réels, mais ils élargissent également la surface d'attaque. La réponse technique et réglementaire adoptée au cours des prochains mois sera essentielle pour renforcer la confiance des utilisateurs et des investisseurs: sans contrôles et sans architecture résiliente, le risque d'incidents à grande échelle restera une menace latente.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...