Les meilleures analyses crypto directement dans votre boîte mail.
Le fondateur de LayerZero réfute les allégations de piratage « totalement fausses » concernant KelpDAO
- Bryan Pellegrino, le fondateur de LayerZero, dément les affirmations de KelpDAO selon lesquelles cette dernière aurait approuvé la configuration non sécurisée.
- Le différend porte sur une configuration de pont à vérificateur unique risquée, utilisée avant l'exploitation de la faille de sécurité à 292 millions de dollars.
- Pellegrino affirme que Kelp a abaissé le niveau de sécurité, tandis que Kelp prétend que LayerZero a implicitement donné son accord.
Bryan Pellegrino, fondateur et PDG de LayerZero Labs, a répliqué à KelpDAO après que le protocole de restaking de liquidités a publié un long message accompagné de captures d'écran qui, selon lui, prouvent que le personnel de LayerZero a approuvé la configuration de pont à vérificateur unique qui a été exploitée lors du piratage de 292 millions de dollars le 18 avril.
Pellegrino a déclaré que la version des faits de KelpDAO était en grande partie fausse et que Kelp elle-même avait rétrogradé sa configuration par défaut, pourtant plus sécurisée.
Les accusations publiques entre les deux plateformes fracturent ce qui s'était présenté comme un front uni des projets DeFi qui s'étaient donné pour mission de contenir les conséquences de l'exploitation de la faille, en se rassemblant sous la bannière «DeFi United »
LayerZero a promis plus de 10 000 ETH aux Aave, d'après un message publié sur le compte officiel du protocole. Cependant, cette récente évolution soulève la question de la responsabilité à l'origine de cette faille, et il semblerait qu'elle ait transformé d'anciens alliés en adversaires.
Pourquoi LayerZero et KelpDAO sont-ils en conflit ?
Dans un fil de discussion publié sur X le 5 mai, Pellegrino a contesté trois affirmations spécifiques faites par KelpDAO dans son annonce selon laquelle elle migrerait le pontage rsETH de LayerZero vers le CCIP de Chainlink.
« Une grande partie de cela est tout simplement fausse », a écrit Pellegrino. Il a précisé que Kelp avait initialement été déployé avec la configuration multi-DVN (réseau de vérification décentralisé) par défaut de LayerZero et avait « migré manuellement vers une configuration 1/1 par la suite ».
Une configuration DVN 1-sur-1 signifie qu'une seule signature de vérification suffit pour autoriser les transferts de jetons inter-chaînes, supprimant ainsi la redondance qu'offre la configuration multi-DVN.
Pellegrino a ajouté que « la quasi-totalité du volume sur une configuration 1/1 était constituée de rsETH », désignant Kelp comme l'utilisateur principal de la configuration exploitée. Il a également souligné que la documentation de LayerZero met en garde contre l'utilisation d'une configuration à vérificateur unique pour les applications de production.
Dans un message précédent, daté du 4 mai, Pellegrino a reconnu éprouver un conflit intérieur face à cette situation. « Je ressens encore une forte dissonance cognitive à ce sujet », a-t-il écrit.
Pellegrino a déclaré qu'il s'était trompé en supposant qu'il était impossible pour quelqu'un de modifier manuellement les configurations qu'ils les avaient aidés à mettre en place jusqu'à un niveau 1/1.
D'après les aveux de Pellegrino, le protocole fournissait l'infrastructure, mais chaque application choisissait sa configuration. S'il a reconnu qu'il était facile de rester passif, il a admis que ce n'était pas la bonne approche.
KelpDAO indique que LayerZero a validé la configuration
par KelpDAO le 5 mai présentait une position différente. Selon Cryptopolitande un article précédent, Kelp a publié des captures d'écran de conversations Telegram montrant un membre de l'équipe LayerZero écrivant « Aucun problème non plus pour l'utilisation des paramètres par défaut » lors de discussions concernant l'extension de la couche 2 de Kelp. Kelp affirme que ces échanges ont eu lieu lors de huit discussions s'étalant sur deux ans et demi, sans qu'aucun membre de l'équipe LayerZero n'ait formulé d'objection.
Kelp a annoncé la migration de rsETH vers le protocole CCIP de Chainlink, une mesure présentée comme une réponse directe à la faille de sécurité. La migration est déjà en cours. Le dépôt GitHub de Kelp mentionne un nouveautrac« CCIP (Chainlink) RSETH » aux côtés dutracexistant LayerZero RSETH_OFT, comme l'indiquait un article précédent de Cryptopolitan.
L'exploit et son ampleur
L'attaque du 18 avril a drainé 116 500 rsETH, soit environ 18 % du jeton restocké liquide en circulation, du pont alimenté par LayerZero de Kelp.
Au moment de l'exploitation de la faille, 47 % destracLayerZero OApp actifs utilisaient une configuration DVN 1-sur-1, selon des données citées dans un rapport précédent. LayerZero a depuis interdit cette configuration et encourage la migration de ses applications.
DeFi est à la croisée des chemins
Le différend entre Pellegrino et Kelp influencera probablement la manière dont les protocoles DeFi négocieront les responsabilités en matière de sécurité avec les fournisseurs d'infrastructure à l'avenir.
LayerZero est sous pression pour expliquer pourquoi près de la moitié de ses applications utilisaient une configuration qu'elle juge désormais inacceptable. Kelp est scruté de près quant à son passage d'une configuration par défaut à plusieurs vérificateurs à une configuration inférieure, si les dires de Pellegrino sont exacts. Les ETH gelés sur Arbitrum restent dans une impasse juridique, et la contribution de 10 000 ETH de LayerZero au programme de relance DeFi United est en train de disparaître.
Il existe un juste milieu entre laisser son argent à la banque et miser sur les cryptomonnaies. Commencez par regarder cette vidéo gratuite sur la finance décentralisée.
FAQ
Qui était derrière l'exploitation du pont de varech, d'une valeur de 292 millions de dollars ?
Chainalysis a établi un lien entre les auteurs des attaques du 18 avril et le groupe nord-coréen Lazarus, qui a compromis des nœuds RPC utilisés par le réseau de vérification de LayerZero et lancé une attaque DDoS simultanée pour rediriger le trafic vers une infrastructure infectée.
Que dit le fondateur de LayerZero au sujet des affirmations de KelpDAO ?
Bryan Pellegrino a déclaré le 5 mai que le récit de KelpDAO est « complètement faux », affirmant que Kelp avait initialement déployé la configuration multi-DVN par défaut de LayerZero et l'avait ensuite rétrogradée manuellement à la configuration de vérificateur 1 sur 1 qui a été exploitée.
Pourquoi KelpDAO migre-t-il de LayerZero vers Chainlink CCIP ?
Kelp a annoncé la migration le 5 mai en réponse directe à l'exploitation du 18 avril, la nouvelle intégration CCIP étant déjà visible dans le dépôt GitHub de Kelp aux côtés dutracLayerZero existant.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustrondentdentdentdentdentdentdentdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
LES
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)