KelpDAO $290M Exploitation attribuée au groupe Lazarus de la Corée du Nord

LayerZero a attribué, le 18 avril, à $290 millions une exploitation touchant la configuration rsETH inter-chaînes de KelpDAO, commise par le groupe Lazarus de Corée du Nord, décrivant l’attaquant comme un « acteur étatique hautement sophistiqué ». Selon LayerZero, l’incident s’est limité à la configuration rsETH de KelpDAO et ne s’est pas propagé à d’autres actifs ni à d’autres applications utilisant le protocole.

Mécanismes de l’exploitation et attribution

LayerZero indique que l’attaque visait l’infrastructure RPC en aval utilisée par son réseau de vérification décentralisée, plutôt que d’exploiter le protocole LayerZero lui-même. L’entreprise affirme que les nœuds compromis ont été remplacés et que le réseau de vérification est de nouveau en ligne. LayerZero attribue l’attaque au groupe Lazarus et à son unité TraderTraitor sur la base d’indicateurs préliminaires.

Impact financier sur Aave

D’après le traqueur blockchain LookonChain, l’exploitation a entraîné la création non légitime d’environ $292 millions de valeur de rsETH. L’attaquant a ensuite utilisé le token comme collatéral pour emprunter plus de 82,600 Ether (ETH), d’une valeur d’environ $195 millions, auprès d’Aave.

La dette irrécouvrable a déclenché de larges retraits d’Aave, faisant chuter sa valeur totale bloquée (TVL) de 6,28 milliards de dollars en moins de 48 heures, passant de 26,396 milliards de dollars à 20,114 milliards de dollars, selon LookonChain.

Principaux retraits

LookonChain a identifié de grands retraits après l’exploitation :

• $431 millions depuis MEXC
• 405,7 millions de dollars depuis le wallet 0x7CD0, possiblement lié à Nonco
• $392 millions depuis Abraxas Capital

Réponse et remédiation

Aave a décidé de geler les marchés rsETH sur V3 et V4 afin d’empêcher de nouveaux emprunts et dépôts, tout en évaluant des options pour couvrir tout déficit.