LayerZero présente des excuses tardives après l'attaque du groupe Lazarus

LayerZero Labs a publié une lettre ouverte expliquant ses défaillances en matière de communication et d'opérations suite au piratage de KelpDAO par le groupe Lazarus. La cyberattaque n'a pas affecté le protocole de LayerZero Labs, mais a compromis ses systèmes internes, ce qui a conduit l'entreprise à reconnaître des erreurs dans ses opérations précédentes. 

LayerZero Labs a publié sa lettre d'excuses le 8 mai 2026. 

LayerZero admet avoir utilisé à mauvais escient plusieurs signatures par le passé 

Aux alentours du 19 avril 2026, le groupe Lazarus a attaqué les nœuds RPC internes de LayerZero Labs, utilisés par son réseau DVN. Les attaquants ont corrompu la source de vérité de ces RPC internes et ont simultanément lancé une attaque DDoS contre le fournisseur RPC externe de LayerZero Labs. LayerZero a précisé que son protocole n'avait pas été affecté par cetdent.

D'après Cryptopolitan, le piratage n'a affecté qu'une seule application, soit 0,14 % de toutes les applications LayerZero et 0,36 % de la valeur totale des actifs transférés sur la plateforme. Cette faille a permis l'exploitation d'une vulnérabilité de 300 millions de dollars en rsETH ciblant KelpDAO. 

Dans ses excuses, LayerZero Labs a également évoqué un autre problème de sécurité survenu il y a trois ans et demi. Dans un cas précis, un signataire a utilisé le portefeuille matériel prévu pour les transactions multisignatures pour une transaction individuelle de McPepes memecoin sur Uniswap, en utilisant son portefeuille personnel. 

Un signataire a été remplacé, les portefeuilles ont été échangés et des mesures ont été mises en place pour éviter que de tels incidents ne se reproduisent.

Cela contredisait directement les déclarations publiques précédentes de Bryan Pellegrino, cofondateur de LayerZero, qui avait qualifié ces activités de « tests OFT » standard moins de 24 heures auparavant. Certains utilisateurs ont relevé cette incohérence, faisant remarquer que les memecoins en question avaient été observés dans de nombreuses transactions provenant du même portefeuille multisignature depuis un certain temps. 

Comme l'a rapporté Cryptopoltan, LayerZero a précisé que son mécanisme multisig permet uniquement de contrôler les fonctionnalités des points de terminaison, notamment l'ajout de chaînes et les mises à jour par défaut des tests.

LayerZero incite les développeurs à améliorer la sécurité

LayerZero a réaffirmé son architecture fondamentale, conçue pour éliminer les points de défaillance uniques courants dans les ponts traditionnels. Chaque application peut ainsi gérer sa sécurité de bout en bout de manièredent, sans dépendre de LayerZero Labs. 

L'entreprise a conseillé aux développeurs de prendre des mesures concrètes : figer toutes les configurations pour éviter les paramètres par défaut contrôlés par LayerZero Labs ; augmenter les confirmations de blocs sur chaque chaîne pour minimiser les risques de réorganisation ; configurer les DVN avec au moins deux (de préférence trois à cinq) partiesdent ; et envisager d'exploiter leur propre DVN requis.

L'entreprise a également précisé certaines hypothèses concernant la confiance et la disponibilité. Les applications par défaut de LayerZero Labs et le DVN, qui reposent sur un vérificateur unique, dépendent entièrement de la signature multiple de LayerZero Labs. Les services de relais de gaz, tels qu'Essence et les exécuteurs LayerZero, n'affectent que la disponibilité.

Suite à cet événement, LayerZero Labs ne prend plus en charge DVN en configuration 1/1 ; les paramètres par défaut des chemins ont été mis à niveau vers des configurations 5/5 ou 3/3, lorsque cela est possible, et le développement d'un client DVN en Rust est en cours.

Conséquences de la faille de sécurité de LayerZero sur la finance décentralisée DeFi  

La riposte à l'attaque a immédiatement suscité des critiques, notamment en raison de sa tentative initiale de rejeter la responsabilité sur ses partenaires. KelpDAO et Solv Protocol ont déjà migré leurs systèmes vers Chainlink, et Beefy, Ethena, BitGo, Lombard et bien d'autres reconsidèrent leurs intégrations. 

Des inquiétudes subsistent quant à la réduction des volumes de transactions interconnectées, aux revenus de Stargate et aux rachats de jetons $ZRO.

LayerZero ne peut plus être sauvegardé ?

Suite à l'exploitation de la faille rsETH d'environ 300 millions de dollars, @LayerZero_Core a blâmé ses partenaires au lieu d'assumer ses responsabilités, et ils en ont immédiatement subi les conséquences.@KelpDAO et @SolvProtocol plateforme et migré vers @ChainlinkChainlink.

Et ce n'est pas tout, les projets ci-dessous… pic.twitter.com/hkKHCHXGou

— Winter Soldier ❄️🙋🏻‍♂️ (@WinterSoldierxz) 9 mai 2026

LayerZero Labs a promis 5 000 ETH au plan de sauvetage DeFi United et 5 000 ETH supplémentaires pour maintenir les pools de liquidités d’ Aavesuite à l’attaque. Néanmoins, cetdent a suscité un débat plus large sur la sécurité des protocoles inter-chaînes, malgré les excuses présentées et la promesse d’améliorer le seuil de multisignature, fixé à 7/10 avec OneSig.

LayerZero Labs affirme que le protocole reste un instrument essentiel pour mener des transactions sécurisées et de grande envergure, mais il faudra attendre quelques semaines pour voir comment les développeurs et les organisations vont réagir.