Durant le week-end, KelpDAO a été piraté pour un montant de 290 millions de dollars en rsETH. KelpDAO utilise LayerZero comme pont cross-chain, et l'équipe de LZ a publié un post-mortem qui a rejeté la faute exclusivement sur KelpDAO. Voici comment l’attaque s’est déroulée. En bref, l’attaquant a compromis un sous-ensemble des RPC utilisés par un seul DVN (Decentralized Verifier Network) intégré par KelpDAO, a effectué une attaque DDoS sur les endpoints honnêtes, puis a utilisé les RPC corrompus pour falsifier un message cross-chain. Oui, KelpDAO n’aurait pas dû utiliser un seul DVN pour sécuriser son instance de pont. C’était stupide. Mais savez-vous qui gère ce seul DVN — celui où les RPC ont été compromis ? LayerZero Labs — les développeurs du pont. Il est clair que KelpDAO n’est pas le seul à blâmer ici. Mes questions : 1) Comment les attaquants ont-ils obtenu l’accès à l’infrastructure RPC de LayerZero Labs ? 2) Pourquoi les DVN uniques sont-ils même autorisés ? 3) Comment devrions-nous envisager les normes minimales pour la sécurité cross-chain aujourd’hui : nombre de DVN, diversité des fournisseurs d’infrastructure, ou un critère explicite de « pas de point unique de défaillance » ? Un moment difficile pour le DeFi en ce moment. Voici le post-mortem brutal : https://t.co/P647A4QdpQ