LayerZero a présenté des excuses publiques jeudi pour sa gestion de l'exploit du 18 avril qui a drainé environ 292 millions de dollars du pont rsETH de Kelp DAO. Le protocole de messagerie interchaînes a admis qu'il n'aurait jamais dû permettre à son propre validateur d'agir comme seul vérificateur pour les transactions à forte valeur.
Pourquoi l'exploit s'est produit
L'attaque visait le pont rsETH, un système qui déplace des jetons entre différentes chaînes de blocs. Le validateur de LayerZero était la seule entité vérifiant la validité des transactions. Ce point de défaillance unique a permis à l'attaquant de drainer près de 300 millions de dollars avant que quiconque puisse l'arrêter.
L'aveu de LayerZero
Dans un billet de blog, l'entreprise a reconnu l'erreur sans détour. « Nous n'aurions pas dû permettre à notre propre validateur d'être le seul vérificateur sur un pont à si forte valeur », ont écrit les équipes. Les excuses sont arrivées quelques semaines après l'incident, suggérant qu'un examen interne a pris du temps. LayerZero n'a pas nommé le validateur spécifique ni expliqué pourquoi cette configuration existait.
Kelp DAO n'a pas encore commenté publiquement les excuses. Les fonds volés n'ont pas encore été récupérés. Le billet de LayerZero n'a fourni aucun délai pour les modifications de son système de vérification, laissant les utilisateurs se demander si des configurations similaires existent encore sur d'autres ponts qu'il alimente.
L'entreprise n'a pas précisé quelles mesures concrètes elle prendrait pour éviter qu'un tel incident ne se reproduise. Pour l'instant, le trou de 292 millions de dollars dans la liquidité de rsETH est un rappel poignant de ce qui arrive lorsque la confiance remplace la redondance dans l'infrastructure blockchain.
