Le pont inter-chaînes de KelpDAO a été vidé de 292 millions de dollars en un week-end. Une attaque d’une précision chirurgicale, attribuée par LayerZero au redoutable groupe Lazarus de Corée du Nord. Cependant, derrière ce piratage spectaculaire se cache une faille de conception que personne ne voulait corriger.

Une attaque d’orfèvre signée Lazarus

Samedi dernier, des attaquants ont retiré 116 500 rsETH, un jeton de restaking liquide adossé à de l’ether mis en jeu, du pont inter-chaînes de KelpDAO. 

Le montant dérobé avoisine les 292 millions de dollars. Dès lundi, LayerZero publiait une évaluation préliminaire désignant le groupe nord-coréen Lazarus, et plus précisément sa sous-unité TraderTraitor, comme « vraisemblablement » responsable.

TraderTraitor n’est pas un inconnu. La communauté crypto reconnaît ce groupe comme l’acteur nord-coréen le plus sophistiqué dans le ciblage des cryptomonnaies. Son palmarès parle de lui-même : il a notamment compromis le pont Ronin d’Axie Infinity et l’échange indien WazirX.

Le Bureau général de reconnaissance de Corée du Nord chapeaute l’ensemble de ces cyberopérations, et abrite plusieurs unités spécialisées, dont APT38 et DangerousPassword.

La technique employée ici était d’une élégance redoutable. Les pirates n’ont pas brisé le pont. Ils ont trompé son gardien. Concrètement, ils ont intercepté deux des lignes utilisées par le vérificateur du pont pour confirmer les retraits sur Unichain, leur ont fourni un faux signal d’approbation, puis ont mis hors service les autres lignes, forçant ainsi le système à se fier uniquement aux données corrompues.

« Le coffre était intact. Le gardien était honnête. Le mécanisme de la porte fonctionnait correctement », résume Meir Dolev, directeur technique de Cyvers. « Le mensonge a été chuchoté directement à la personne dont la parole a ouvert la porte. »

Une faille architecturale annoncée, ignorée

Ce piratage révèle surtout une erreur de conception flagrante. KelpDAO n’utilisait qu’un seul vérificateur pour approuver les transferts entrants et sortants de son pont. LayerZero affirme avoir « exhorté à plusieurs reprises » le protocole à adopter plusieurs vérificateurs. En vain.

Shalev Keren, cofondateur de la société de sécurité Sodot, est direct : « Il s’agissait d’un note de défaillance unique, peu importe comment le marketing le présente. » Un seul point de contrôle compromis a suffi pour vider le pont. Aucun audit n’aurait pu combler cette brèche sans remettre en cause l’architecture elle-même.

Haoze Qiu, responsable blockchain chez Grvt, va plus loin et pointe une responsabilité partagée : « KelpDAO semble avoir accepté une configuration de sécurité avec une redondance insuffisante pour un actif de cette envergure », et LayerZero « a également une part de responsabilité », l’attaque ayant impliqué une infrastructure liée à sa pile de validateurs.

Les conséquences ont été immédiates. Les retraits massifs de rsETH ont contraint le protocole Aave à geler ses marchés liés à ce jeton, provoquant une pénurie de liquidités qui a retiré plus de 10 milliards de dollars du protocole. 

Les pirates ont par ailleurs failli dérober 100 millions supplémentaires en trois minutes, avant d’être stoppés par une mise en liste noire en urgence. Enfin, le logiciel malveillant utilisé s’est effacé automatiquement après l’opération, supprimant fichiers et journaux.

Ce piratage s’inscrit dans une série noire : en février 2025, Lazarus avait dérobé 1,4 milliard de dollars à Bybit, le plus grand piratage crypto de l’histoire. En début de mois, 285 millions de dollars disparaissaient du protocole Drift sur Solana. La DeFi reste une cible de choix pour Pyongyang, et tant que la sécurité des ponts inter-chaînes ne deviendra pas une priorité absolue, ces attaques continueront de faire des ravages.

Fenelon L.

Passionné par le Bitcoin, j’aime explorer les méandres de la blockchain et des cryptos et je partage mes découvertes avec la communauté. Mon rêve est de vivre dans un monde où la vie privée et la liberté financière sont garanties pour tous, et je crois fermement que Bitcoin est l’outil qui peut rendre cela possible.

DISCLAIMER

Les propos et opinions exprimés dans cet article n’engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d’investissement.