Un vol majeur de 290 millions de dollars a touché le projet de finance décentralisée KelpDAO, avec des soupçons pointant vers des hackers nord-coréens associés à Lazarus. L’incident s’est produit samedi et a également affecté plusieurs protocoles de prêt, dont Compound, Euler et Aave. Ce dernier a pris la décision de geler les opérations et d’interdire de nouveaux dépôts ou emprunts utilisant le jeton rsETH comme garantie.
KelpDAO, un projet construit sur le réseau Ethereum, propose un mécanisme de restaking liquide. Les utilisateurs peuvent y déposer leur ETH, qui est ensuite restaké pour générer un jeton liquide nommé rsETH. Ce jeton permet aux utilisateurs de continuer à percevoir des rendements tout en restant utilisable dans l’écosystème DeFi, y compris par le biais de LayerZero, un protocole d’interopérabilité inter-blockchain.
Le 18 avril, KelpDAO avait détecté une activité cross-chain suspecte liée à rsETH, ce qui a entraîné la suspension des contrats rsETH sur le réseau principal Ethereum et ses solutions de couche 2. À la suite de cette découverte, une enquête a été lancée avec la collaboration de LayerZero, Unichain et d’autres partenaires.
Les analyses blockchain ont révélé que près de 116 500 rsETH avaient été volés, représentant environ 293 millions de dollars. Les fonds ont été blanchis via Tornado Cash pour dissimuler leur provenance. LayerZero a expliqué que l’attaque a ciblé la couche de vérification (DVN) utilisée pour valider les messages cross-chain relatifs à rsETH.
Les hackers ont réussi à compromettre certains nœuds RPC utilisés par le vérificateur, en leur fournissant des données blockchain falsifiées, tout en attaquant par DDoS les nœuds sains pour forcer le système à se fier aux nœuds compromis. Cela a permis d’approuver des messages cross-chain frauduleux. Les transactions qui n’ont jamais réellement eu lieu sur la blockchain ont été validées, facilitant ainsi le transfert non autorisé du rsETH.
D’après une évaluation préliminaire des indicateurs d’attaque, LayerZero attribue ce vol à un acteur étatique sophistiqué, très probablement le Lazarus Group, et plus spécifiquement à TraderTraitor. L’incident semble circonscrit à rsETH, sans impact sur d’autres applications ou actifs.
Ce vol représente une perte significative cette année. Le Lazarus Group est également associé à une autre attaque notable, durant laquelle 280 millions de dollars ont été dérobés au Drift Protocol. Ce dernier incident résulte d’une opération soigneusement planifiée sur six mois, impliquant des agents malveillants assistant à des conférences et des dépôts d’un million de dollars dans le projet.