L'exploit Kelp lié à Lazarus provoque une contagion DeFi
Plus de 500 millions de dollars ont été siphonnés lors des incidents Drift et Kelp en un peu plus de deux semaines.
Une exploitation liée à Lazarus du système de cross-chain/restaking de Kelp est survenue moins de trois semaines après une attaque d'ingénierie sociale sur Drift, avec plus de 500 millions de dollars siphonnés au cours de ces deux incidents en un peu plus de deux semaines. La violation de Kelp met maintenant sous pression les plateformes DeFi en aval car les actifs touchés ont été réutilisés comme collatéral, transformant un échec unique en un problème de bilan plus large.
Points clés
- Plus de 500 millions de dollars ont été siphonnés lors des incidents Drift et Kelp en un peu plus de deux semaines.
- La violation de Kelp n'a pas nécessité de clés compromises ou de cryptage cassé. Les attaquants ont manipulé les entrées afin que le système approuve des transactions qui n'ont jamais eu lieu.
- L'approbation des messages cross-chain reposait sur un seul vérificateur, et LayerZero a ensuite recommandé plusieurs vérificateurs indépendants.
- Les pertes se sont étendues au-delà de Kelp car les actifs touchés ont été publiés comme collatéraldans DeFi, y compris sur des marchés de prêt tels qu'Aave.
Deux semaines, 500 millions de dollars : Drift à Kelp et le retour de la contagion DeFi
La séquence est plus importante que les titres individuels. Moins de trois semaines après que des hackers liés à la Corée du Nord aient utilisé l'ingénierie sociale pour frapper la société de trading crypto Drift, des hackers liés au même écosystème d'État semblent avoir exécuté une autre exploitation majeure impliquant Kelp, un protocole de restaking intégré à l'infrastructure cross-chain de LayerZero.
Les dommages combinés sont déjà le point : plus de 500 millions de dollars siphonnés à travers les incidents Drift et Kelp en un peu plus de deux semaines. Ce rythme est ce qui change le comportement des traders. Lorsque les pertes s'accumulent aussi étroitement, les bureaux cessent de traiter les exploits comme du bruit opérationnel isolé et commencent à les considérer comme une variable de structure de marché, surtout lorsque les actifs compromis peuvent être réhypothéqués à travers différents lieux.
Les experts en sécurité ont présenté la séquence Drift-à-Kelp comme quelque chose de plus organisé que des hacks ponctuels et conforme à une campagne soutenue, dirigée par l'État, liée aux besoins financiers d'un État sanctionné. Alexander Urbelis, CISO et conseiller juridique chez ENS Labs, l'a dit clairement : « Ce n'est pas une série d'incidents. C'est une cadence », ajoutant, « Vous ne pouvez pas corriger votre chemin à travers un calendrier d'approvisionnement. »
Ce qui se démarque ici, c'est le changement tactique. Drift était de l'ingénierie sociale. Kelp ressemble à une exploitation d'infrastructure, visant les hypothèses à l'intérieur de la plomberie de la pile. C'est la couche qui a tendance à être la plus difficile à surveiller en temps réel et la plus facile à mal configurer, tout en étant toujours sous de grands pools de valeur.
Comment Kelp a été trompé : lorsque des messages signés portent de fausses données
L'exploitation de Kelp est un exemple clair de pourquoi « sécurisé » peut être la mauvaise question. La violation n'impliquait pas de casser le chiffrement ou de craquer des clés. Le système « fonctionnait comme il était conçu », mais les attaquants ont manipulé les données alimentant le système et l'ont forcé à se fier à des entrées compromises. Le résultat a été que Kelp a approuvé des transactions qui n'ont jamais réellement eu lieu.
Urbelis a résumé le mode d'échec en une phrase que les traders devraient intérioriser : « L'échec de sécurité est simple : un mensonge signé est toujours un mensonge », et, « Les signatures garantissent l'auteur. Elles ne garantissent pas la vérité. » En termes de bureau, le message avait une provenance valide, mais le contenu était empoisonné. Le système a vérifié qui a envoyé le message, pas si le message était vrai.
David Schwed, COO de la société de sécurité blockchain SVRN, l'a présenté comme une architecture et une configuration, pas de la cryptographie : « Cette attaque ne concernait pas la rupture de la cryptographie », a-t-il déclaré. « Il s'agissait d'exploiter la façon dont le système était configuré. »
L'implication pratique est de second ordre. Si le mode d'échec dominant est « vérité du message » plutôt que compromission de clé, alors l'évaluation des risques se déplace de l'hygiène de garde vers l'intégrité des entrées inter-chaînes, la conception de validation et la réalité opérationnelle de la façon dont les intégrations sont configurées.
Le point faible du vérificateur unique et les conseils post-exploitation de LayerZero
Un choix de configuration se trouve au centre de l'incident Kelp : la validation des messages inter-chaînes reposait sur un seul vérificateur, effectuant effectivement un seul contrôle des messages. Cette configuration est plus rapide et plus simple à déployer, mais elle supprime une couche de sécurité critique qui existerait avec plusieurs vérificateurs indépendants.
Après l'exploitation, LayerZero a recommandé d'utiliser plusieurs vérificateurs indépendants pour approuver les transactions, comparant cela à l'exigence de plusieurs signatures sur un virement bancaire. Cette recommandation est plus qu'une simple note de bonne pratique. C'est une admission que la conception des vérificateurs est une variable de risque de premier ordre, car un seul vérificateur transforme une intégration inter-chaînes en un point de défaillance unique.
Le débat qui a suivi est également révélateur. Certains participants de l'écosystème ont contesté le cadre, arguant que la configuration par défaut de LayerZero était un seul vérificateur. Les critiques ont rétorqué que si une configuration est dangereuse, elle ne devrait pas être proposée comme option. La critique de Schwed était directe : « Si vous avez identifié une configuration comme dangereuse, ne l'expédiez pas comme option », ajoutant : « La sécurité qui dépend de tout le monde lisant la documentation et faisant les choses correctement n'est pas réaliste. »
C'est ici que le marketing de la décentralisation entre en collision avec la réalité de l'implémentation. Schwed a déclaré : « Un seul vérificateur n'est pas décentralisé », ajoutant : « C'est un vérificateur décentralisé centralisé. » Urbelis a élargi le propos : « La décentralisation n'est pas une propriété qu'un système possède. C'est une série de choix », et, « Et la pile n'est aussi forte que sa couche la plus centralisée. »
Pour les traders, c'est la carte. L'hypothèse la plus faible n'est souvent pas la cryptographie de la chaîne. C'est la couche humaine et de configuration où « optionnel » devient « commun », et commun devient systémique.
Signaux que les traders peuvent suivre alors que la plomberie inter-chaînes se renforce
La question immédiate est de savoir si l'écosystème répond par un durcissement exécutoire ou par de la documentation et de l'espoir.
Premier signal : si Kelp et d'autres intégrations LayerZero passent de configurations à un seul vérificateur à plusieurs vérificateurs indépendants suite à la recommandation de LayerZero. La direction du voyage est importante car elle modifie la distribution des probabilités des échecs futurs de « un vérificateur compromis casse le système » vers « les attaquants doivent vaincre la redondance. »
Deuxième signal : de nouvelles divulgations de pertes ou de restrictions liées aux actifs impactés utilisés comme garantie sur les marchés de prêt, y compris Aave. Les conséquences de Kelp ne sont pas restées contenues car les actifs ont été utilisés sur plusieurs plateformes. Schwed a décrit le risque de composabilité comme une fragilité de bilan : « Ces actifs sont une chaîne de IOUs », et, « Et la chaîne n'est aussi forte que les contrôles sur chacun. »lienLorsque un lien se brise, des protocoles qui n'ont jamais été directement exploités peuvent tout de même se retrouver à devoir payer les pots cassés.
Troisième signal : des rapports d'exploitation supplémentaires dans l'infrastructure cross-chain ou de restaking qui prolongent la séquence de deux semaines de Drift + Kelp. Le cadrage de la campagne repose sur le rythme. Un autre incident dans la même couche de plomberie renforcerait l'interprétation selon laquelle les attaquants ciblent systématiquement les hypothèses de la pile.
Quatrième signal : clarté de la part des participants de l'écosystème sur la question de savoir si les configurations à vérificateur unique étaient des défauts ou des choix optionnels, et si des configurations non sécurisées restent disponibles. Cette décision de gouvernance et de produit détermine si le prochain échec est un cas marginal rare ou un manuel répétable.
Cette campagne cible les hypothèses les plus faibles de la pile, et non sa cryptographie la plus forte.
Je ne considère pas cela comme une histoire sur le fait que « les ponts sont risqués » de manière abstraite. Le schéma spécifique est plus actionnable : Drift était un coup de manipulation sociale, puis Kelp était une exploitation structurelle où des signatures valides portaient de fausses données et un seul vérificateur est devenu le point de blocage. C'est un changement de voler l'accès à exploiter des hypothèses.
La conséquence sur le marché est le canal de contagion. L'incident Kelp s'est propagé parce que les actifs touchés ont été réutilisés dans DeFi, y compris comme garantie sur des marchés de prêt comme Aave, qui subissent maintenant des pertes. C'est la partie que ressentent les traders. Pas l'exploitation elle-même, mais l'atteinte en aval lorsque la qualité des garanties est remise en question et que les positions construites sur ces garanties deviennent instables.
Je surveille cela à travers trois scénarios.
Scénario un : le durcissement devient réel. Les intégrations migrent vers plusieurs vérificateurs indépendants, et les participants de l'écosystème suppriment ou restreignent fortement les configurations reconnues comme non sécurisées. Dans ce monde, l'exploitation Kelp devient une fonction de contrainte. La confirmation serait des mouvements concrets loin des configurations à vérificateur unique et des déclarations claires indiquant que les configurations non sécurisées ne sont plus proposées comme une option décontractée.
Scénario deux : le durcissement reste cosmétique. La recommandation de LayerZero existe, mais les déploiements à vérificateur unique restent courants car ils sont « plus rapides et plus simples à mettre en place », et la charge reste sur les équipes pour lire parfaitement la documentation. Cela maintient la même topologie de point de défaillance unique en production. La confirmation serait une ambiguïté continue sur les défauts et la disponibilité persistante de la configuration plus faible.
Scénario trois : la cadence continue et la plomberie reste la cible. Les experts en sécurité ont déjà présenté Drift + Kelp comme organisé et soutenu, et la phrase de Urbelis sur la "cadence" est un indice. La confirmation serait une autre exploitation dans l'infrastructure cross-chain ou de restaking qui tire à nouveau parti de choix de conception connus et de configurations faibles plutôt que de nouvelles ruptures cryptographiques.
Ma thèse principale est simple : il s'agit d'une campagne optimisée pour exploiter les points faibles de la vérité des messages et des configurations, et elle devient pertinente sur le marché au moment où des actifs contaminés sont acceptés comme garantie dans l'ensemble DeFi. La thèse est confirmée si des configurations à vérificateur unique persistent tandis que les pertes liées aux garanties continuent de se propager au-delà du protocole directement exploité.
