La société LayerZero Labs a publié une lettre ouverte, reconnaissant des erreurs dans sa communication et le fonctionnement de ses systèmes internes après le hack de KelpDAO.
Chez LayerZero, ils ont souligné que l'infrastructure du protocole n'avait pas été compromise. Cependant, l'attaque a touché les systèmes internes de l'entreprise, ce qui les a amenés à admettre qu'il y avait des problèmes avec la réaction à l'incident et la communication avec les utilisateurs.
La lettre d'excuses de LayerZero Labs a été publiée le 8 mai 2026.
LayerZero a reconnu des problèmes avec le multisig après l'attaque du Lazarus.
Environ le 19 avril 2026, le groupe de hackers Lazarus Group a attaqué les nœuds RPC internes de LayerZero Labs, utilisés dans le réseau DVN. Les hackers ont perturbé le fonctionnement des services RPC internes, tout en lançant une attaque DDoS contre un fournisseur RPC externe de l'entreprise.
LayerZero a déclaré que le protocole lui-même n'a pas été affecté pendant l'attaque.
Comme rapporté précédemment, le piratage n'a touché qu'une seule application. Cela représente environ 0,14 % de toutes les applications dans l'écosystème LayerZero et environ 0,36 % du volume total des actifs passant par les ponts de la plateforme. À cause de l'attaque, KelpDAO a perdu environ 300 millions de dollars dans le cadre de l'exploitation rsETH.
Dans la lettre d'excuses, LayerZero a également mentionné un autre incident qui s'est produit il y a environ trois ans et demi. À l'époque, un des participants avait utilisé le portefeuille multisig de l'entreprise pour trader personnellement des memecoins McPepes sur Uniswap.
Après cela, l'entreprise a remplacé l'un des signataires, changé les portefeuilles et ajouté de nouvelles mesures de protection pour éviter que cela ne se reproduise.
Le problème est que cela contredisait les déclarations antérieures du co-fondateur de LayerZero, Brian Pellegrino. Moins de 24 heures avant la reconnaissance, il qualifiait de telles opérations de tests normaux de l'OFT.
Les utilisateurs ont rapidement remarqué des incohérences. Selon eux, les memecoins issus de ces transactions étaient déjà régulièrement présents dans l'activité du même portefeuille multisig.
Plus tard, LayerZero a précisé que leur système multisig ne permet de gérer que les fonctions Endpoint, y compris l'ajout de nouveaux réseaux et les mises à jour des paramètres par défaut.
LayerZero a appelé les développeurs à prendre la sécurité plus au sérieux
Chez LayerZero, on a de nouveau rappelé que le projet a été initialement conçu pour éviter un point de défaillance unique, souvent rencontré par les ponts blockchain ordinaires. L'entreprise a souligné que chaque application peut configurer son propre système de sécurité et ne pas dépendre entièrement de LayerZero Labs.
Après l'attaque, l'équipe a également publié des recommandations pour les développeurs. Chez LayerZero, il est conseillé de fixer rigidement toutes les configurations, plutôt que d'utiliser des paramètres par défaut contrôlés par l'entreprise elle-même. De plus, les développeurs sont encouragés à augmenter le nombre de confirmations de blocs pour réduire le risque de réorganisation du réseau et à configurer le DVN avec au moins deux participants indépendants, ou mieux, entre trois et cinq. LayerZero pense que les grands projets devraient même lancer leurs propres nœuds DVN.
LayerZero a également expliqué comment fonctionnent les modèles de confiance actuels au sein du système. Par exemple, les applications standard et les configurations DVN avec un seul validateur dépendent essentiellement du multisig de LayerZero Labs. Les services d'envoi de gaz et d'exécution des transactions n'affectent que la disponibilité du réseau, et non la sécurité des actifs.
Après l'attaque, LayerZero a cessé de soutenir les schémas DVN 1/1. Maintenant, les paramètres standard passent à des schémas 3/3 ou 5/5, où la confirmation se fait immédiatement via plusieurs participants indépendants. En parallèle, LayerZero développe un nouveau client DVN en Rust.
Les conséquences pour le DeFi après le piratage de LayerZero
Après l'attaque, LayerZero a fait face à des critiques de la part de la communauté crypto. Beaucoup n'ont pas apprécié que, dans les premiers jours, l'entreprise ait tenté de partiellement transférer la responsabilité sur ses partenaires.
Après l'incident, KelpDAO et Solv Protocol ont déjà migré leurs systèmes vers Chainlink. D'autres grands projets, y compris Beefy, Ethena, BitGo et Lombard, commencent à revoir leur collaboration avec LayerZero.
Dans le contexte du scandale, des craintes sont apparues quant à une baisse des volumes de transferts via les ponts LayerZero. Les revenus de Stargate et le programme de rachat du token ZRO ont également été touchés.
Pour atténuer les conséquences de l'attaque, LayerZero Labs a promis de libérer 5 000 ETH dans le cadre du plan de sauvetage DeFi United, et 5 000 ETH supplémentaires pour soutenir les pools de liquidité Aave.
Mais même après des excuses, l'histoire a de nouveau soulevé des questions sur la sécurité des protocoles cross-chain. Actuellement, LayerZero utilise un schéma multisig 7/10 via le système OneSig.
L'entreprise continue d'affirmer que le protocole reste un outil fiable pour les gros transferts inter-chaînes. Cependant, il ne sera possible de comprendre complètement la réaction du marché que dans quelques semaines, lorsque nous saurons combien de projets continueront à travailler avec LayerZero.
\u003ct-216/\u003e \u003ct-218/\u003e \u003ct-220/\u003e \u003ct-222/\u003e
\u003cc-207/\u003e
