Le piratage de Kelp DAO déclenche des accusations pour une perte de 290 millions de dollars en crypto

Kelp DAO a perdu 290 millions de dollars. Maintenant, tout le monde se renvoie la balle.

Le piratage a durement frappé le token rsETH de Kelp DAO, et les répercussions se sont étendues à 14 milliards de dollars dans l’infrastructure DeFi. LayerZero, Kelp DAO et Aave sont tous impliqués dans ce chaos, chacun pointant du doigt les autres pendant que les utilisateurs attendent de savoir s’ils récupéreront leur argent. Toute cette affaire s’est rapidement transformée en jeu de reproches, avec des entreprises s’efforçant de défendre leur rôle dans ce qui a mal tourné.

Deux jours de silence radio

Kelp DAO est resté silencieux pendant deux jours entiers après la violation. Lorsqu’ils ont finalement pris la parole, la déclaration a confirmé comment l’exploit avait fonctionné, mais n’a pas dit grand-chose sur le remboursement des personnes. Ils ont mentionné avoir arrêté une autre attaque de 95 millions de dollars, ce qui est quelque chose. Mais des messages internes de Kelp auraient fermement contesté la version des événements de LayerZero. LayerZero a publié un rapport post-mortem qui a essentiellement blâmé Kelp pour l’échec de sécurité, et Kelp n’a pas du tout apprécié.

Le silence de l’entreprise a frustré beaucoup de gens. Deux jours semblent une éternité quand votre argent a disparu et que personne ne parle. Quand la déclaration est finalement tombée, elle a laissé plus de questions que de réponses. Pas de plan clair pour les remboursements. Pas de calendrier. Juste la confirmation que oui, le piratage a eu lieu, et oui, ils ont réussi à en bloquer un encore plus grand.

Les paramètres par défaut de LayerZero sous le feu des critiques

LayerZero est critiqué pour sa gestion de la sécurité. L’entreprise permet aux projets individuels de mettre en place leurs propres mesures de sécurité, ce qui semble raisonnable jusqu’à ce que vous regardiez les chiffres. Près de la moitié des plus de 2 500 contrats de pontage sur LayerZero utilisent une configuration par défaut que les experts en sécurité qualifient de faible. C’est un problème.

Taylor Monahan, une experte en sécurité blockchain qui connaît son sujet, a souligné que de nombreux projets se contentent des paramètres par défaut de LayerZero. Ces paramètres par défaut ont peut-être joué un rôle dans la vulnérabilité qui a été exploitée. LayerZero recommande des configurations sécurisées, certes, mais recommander quelque chose et en faire le paramètre par défaut sont deux choses différentes.

Et LayerZero n’a pas encore entièrement divulgué le vecteur d’attaque. Ce manque de transparence a effrayé plusieurs grands projets crypto, les poussant à mettre en pause leur pontage d’actifs. Ethena l’a fait. EtherFi, WBTC, Tron et Curve aussi. Ils réévaluent tous leurs protocoles de sécurité maintenant, essayant de déterminer s’ils sont également vulnérables.

La critique se résume à ceci : LayerZero a mis le fardeau de la sécurité sur les équipes individuelles qui pourraient ne pas avoir l’expertise pour configurer correctement les choses. Quand la moitié de vos utilisateurs choisissent l’option non sécurisée par défaut, peut-être que le problème n’est pas seulement une erreur de l’utilisateur.

Le problème de collatéral d’Aave

Aave n’a pas causé directement le piratage. Mais leur configuration a aggravé les choses.

La plateforme a accepté rsETH comme collatéral sans vraiment réfléchir aux risques inter-chaînes. Leurs évaluations de risque se concentraient sur les risques de marché et de liquidité—les choses habituelles. Ils ont raté la vue d’ensemble. Cet oubli a permis aux gens de construire des positions massives à effet de levier en utilisant rsETH, ce qui en a fait une cible de choix pour les pirates. Plus de levier signifie plus de dommages potentiels quand les choses tournent mal.

Aave fait face à des critiques maintenant pour ne pas avoir détecté cette vulnérabilité. L’intégration de rsETH comme collatéral semblait correcte sur le papier, mais elle a créé des conditions qui ont amplifié l’impact de l’exploit. Quand vous gérez un protocole de prêt, vous devez penser à toutes les façons dont les choses peuvent mal tourner, pas seulement aux évidentes.

Arbitrum intervient

Le conseil de sécurité d’Arbitrum a réussi à récupérer 30 000 ETH du pirate. Cela représente 71 millions de dollars de fonds volés, maintenant entre les mains d’Arbitrum au lieu de celles de l’attaquant. Un travail de récupération assez impressionnant.

Mais cela a déclenché un tout autre débat. Arbitrum a saisi ces fonds sans ordonnance judiciaire, ce qui soulève des questions sur la manière dont la finance décentralisée devrait gérer ces situations. Certaines personnes ont salué le geste—récupérer de l’argent des pirates, c’est bien, non ? D’autres s’inquiètent du précédent. Si Arbitrum peut geler et saisir des fonds unilatéralement, qu’est-ce que cela signifie pour la partie « décentralisée » de la DeFi ?

Les ETH récupérés sont maintenant en suspens. Personne ne sait comment ils seront redistribués. Les utilisateurs affectés les recevront-ils proportionnellement ? Kelp DAO contrôle-t-il la distribution ? Qu’en est-il des futurs piratages—Arbitrum interviendra-t-il à chaque fois, ou était-ce un cas isolé ? Le secteur n’a pas encore de réponses claires.

L’éthique devient rapidement floue. La décentralisation signifie qu’il n’y a pas d’autorité centrale pour prendre ces décisions, mais quand 71 millions de dollars sont en jeu, quelqu’un doit agir. Arbitrum a agi. S’ils auraient dû le faire est encore sujet à débat.

Ce qui se passe ensuite

Les utilisateurs affectés par le piratage sont coincés dans l’attente. Kelp DAO n’a pas clarifié comment les pertes seront distribuées ou si un remboursement complet est même possible. La perte de 290 millions de dollars est énorme, et même avec la récupération d’Arbitrum, il reste un déficit massif.

Le secteur DeFi observe de près. Les paramètres de sécurité par défaut comptent. Les évaluations de risque doivent prendre en compte les vulnérabilités inter-chaînes. Et la communauté doit déterminer quand l’intervention est justifiée et quand elle franchit une ligne.

Le problème de configuration par défaut de LayerZero ne disparaîtra pas. Si la moitié des 2 500 contrats utilisent des paramètres non sécurisés, cela représente 1 250 vulnérabilités potentielles qui attendent d’être exploitées. D’autres projets mettant en pause leur pontage pourraient être intelligents, mais cela montre aussi à quel point la confiance est fragile en ce moment.

L’erreur d’Aave sur les risques inter-chaînes changera probablement la manière dont les protocoles de prêt évaluent le collatéral à l’avenir. Une leçon de 290 millions de dollars est suffisante pour la plupart des gens.

La récupération d’Arbitrum établit un précédent, que quelqu’un l’ait voulu ou non. La prochaine fois qu’un piratage majeur se produira, tout le monde se demandera : Arbitrum interviendra-t-il à nouveau ? Devrait-il le faire ? La réponse dépend de qui vous demandez, et pour l’instant, personne n’est d’accord.

Lire aussi : La liquidité d’Aave se tarit alors que la violation de Kelp DAO déclenche une panique de retrait de 6,2 milliards de dollars

Le jeu des reproches continue. Kelp blâme l’architecture de LayerZero. Les critiques blâment les paramètres par défaut de LayerZero. D’autres pointent les modèles de risque d’Aave. Pendant ce temps, les utilisateurs veulent juste récupérer leur argent, et les entreprises impliquées continuent de se rejeter la faute au lieu de travailler ensemble sur des solutions.

La critique de Monahan sur les paramètres de sécurité par défaut a touché un nerf parce qu’elle est vraie. Les développeurs prennent le chemin de la moindre résistance, et si le chemin le plus facile est non sécurisé, c’est un problème systémique. LayerZero peut recommander de meilleures configurations toute la journée, mais tant que le paramètre par défaut n’est pas sécurisé, les projets continueront d’être exploités.

Le pontage mis en pause par des projets majeurs comme Ethena et Curve montre comment un piratage peut se répercuter sur tout l’écosystème. Ce ne sont pas de petits acteurs—ce sont des protocoles DeFi majeurs avec des milliards de valeur totale verrouillée. Quand ils mettent tous en pause en même temps, cela envoie un message que l’infrastructure de LayerZero nécessite un examen sérieux.

La prévention de l’attaque de 95 millions de dollars par Kelp DAO n’a pas reçu beaucoup d’attention, mais elle aurait probablement dû. Arrêter une deuxième attaque tout en gérant la première demande de l’habileté et une pensée rapide. Mais une bonne gestion de crise n’efface pas l’échec initial, et les utilisateurs se soucient plus de récupérer leurs 290 millions de dollars que d’entendre parler de ce qui n’a pas été volé.

L’absence d’un plan clair de restitution de Kelp DAO est le plus gros problème en cours. Les entreprises peuvent discuter de la responsabilité indéfiniment, mais les utilisateurs affectés ont besoin d’informations concrètes sur si et quand ils seront indemnisés. Chaque jour sans réponse érode encore plus la confiance.

La promesse de la DeFi a toujours été de supprimer les intermédiaires et de créer des systèmes sans confiance. Mais quand des piratages se produisent, les gens veulent que quelqu’un intervienne et répare les choses. Cette tension entre décentralisation et intervention ne disparaîtra pas, et le piratage de Kelp DAO l’a juste rendu plus évident.