KelpDAO perd $290M dans l’attaque LayerZero du groupe Lazarus

KelpDAO a subi une perte de $290 million le 18 avril lors d’une faille de sécurité sophistiquée liée au groupe Lazarus, plus précisément à un acteur connu sous le nom de TraderTraitor, selon les premiers rapports. L’attaque a ciblé l’infrastructure de LayerZero et a exploité des faiblesses de configuration dans les systèmes de vérification de KelpDAO. David Schwartz a noté le 20 avril 2026 que « l’attaque était bien plus sophistiquée que je ne l’avais prévu et visait l’infrastructure de LayerZero en profitant de la négligence de KelpDAO ».

Comment l’attaque a eu lieu

L’attaque a utilisé une approche en plusieurs étapes plutôt qu’une simple exploitation. Les attaquants ont d’abord ciblé le système RPC utilisé par le réseau de vérification de LayerZero, puis ont lancé une attaque DDoS pour perturber les opérations normales. Lorsque le système est passé sur des nœuds de secours, les attaquants ont exécuté leur objectif clé : ces nœuds de secours avaient déjà été compromis, leur permettant d’envoyer de faux signaux et de confirmer des transactions qui ne se sont jamais réellement produites. Notamment, aucun protocole central ni aucune clé privée n’a été compromis. Au lieu de cela, l’attaque a exploité des points faibles de la configuration du système, démontrant la sophistication des cybermenaces modernes.

Un point de défaillance unique comme cause principale

La vulnérabilité fondamentale provenait de la conception de la configuration de KelpDAO. La plateforme s’appuyait sur une configuration de vérification 1 sur 1, ce qui signifie qu’un seul vérificateur confirmait les transactions sans couche de vérification de secours. Une fois ce système unique compromis, l’attaque a réussi sans aucune défense secondaire. Des experts ont noté que cela créait un point de défaillance unique évident. LayerZero avait déjà recommandé d’utiliser plusieurs vérificateurs, et une configuration de vérification multi-couches aurait pu empêcher l’attaque entièrement.

Impact et périmètre

Bien que la perte ait été importante, les dommages sont restés limités à une zone spécifique. Les rapports confirment que la brèche n’a affecté que le produit rsETH de KelpDAO, les autres actifs et applications demeurant inchangés. LayerZero a rapidement remplacé les systèmes compromis et rétabli les opérations normales. Les équipes travaillent avec les enquêteurs pour suivre les fonds dérobés. L’incident a suscité des inquiétudes à l’échelle de l’industrie concernant la sécurité de configuration dans les systèmes avancés.

Implications pour la sécurité crypto

L’incident souligne que la sécurité dépend non seulement de la solidité du code, mais aussi de la configuration du système et des pratiques de gestion. L’implication du groupe Lazarus — un groupe cyber historiquement lié à des exploitations à grande échelle — ajoute une préoccupation considérable, car leurs méthodes continuent d’évoluer. À l’avenir, les projets pourraient de plus en plus privilégier la redondance et les mécanismes de contrôle des risques. Une vérification multi-couches pourrait devenir une norme dans l’industrie. L’attaque contre KelpDAO sert d’avertissement : même un seul point faible dans l’architecture d’un système peut entraîner des pertes massives. À mesure que l’écosystème crypto s’étend, les pratiques de sécurité doivent évoluer proportionnellement.