Moins de trois semaines après qu’un groupe de hackers lié à la Corée du Nord a utilisé l’ingénierie sociale pour frapper la société de trading de cryptomonnaies Drift, ces mêmes hackers semblent avoir orchestré un autre exploit majeur, cette fois-ci avec Kelp.
L’attaque contre Kelp, un protocole de restaking intégré à l’infrastructure cross-chain de LayerZero, indique une évolution dans les méthodes des hackers nord-coréens. Ils ne se contentent plus de chercher des bugs ou des identifiants volés, mais exploitent les hypothèses fondamentales sur lesquelles reposent les systèmes décentralisés.
Ensemble, ces deux incidents témoignent d’une organisation plus poussée qu’une simple série de hacks isolés, alors que la Corée du Nord intensifie ses efforts pour détourner des fonds dans le secteur des cryptomonnaies.
« Ce ne sont pas une série d’incidents, mais un rythme », a déclaré Alexander Urbelis, directeur de la sécurité de l’information chez ENS Labs. « Il n’est pas possible de corriger les failles par de simples mises à jour. »
Plus de 500 millions de dollars ont été détournés suite aux exploits de Drift et Kelp en un peu plus de deux semaines.
Comment Kelp a été compromis
Au cœur de l’exploitation de Kelp, il n’y a pas eu de décryptage ni de violation de clés. Le système a fonctionné exactement comme prévu. Les attaquants ont manipulé les données alimentant le système, le forçant à se fier à ces entrées compromises, ce qui a conduit à l’approbation de transactions qui n’ont jamais eu lieu.
[not-theb]
« L’échec de sécurité est simple : un mensonge signé reste un mensonge », a déclaré Urbelis. « Les signatures garantissent l’auteur ; elles ne garantissent pas la vérité. »
En d’autres termes, le système vérifiait l’expéditeur du message, mais pas si le contenu du message était correct. Pour les experts en sécurité, cela met davantage en avant une faille dans la conception du système que dans son cryptage.
« Cette attaque ne concerne pas le déchiffrement de la cryptographie », a affirmé David Schwed, directeur des opérations chez SVRN, une entreprise de sécurité pour la blockchain. « Il s’agit plutôt d’exploiter la manière dont le système a été configuré. »
Un problème clé résidait dans une décision de configuration. Kelp s’appuyait sur un unique vérificateur pour approuver les messages inter-chaînes. Bien que cela soit plus rapide et plus simple à mettre en place, cela retire une couche de sécurité essentielle.
Depuis, LayerZero a recommandé d’utiliser plusieurs vérificateurs indépendants pour approuver les transactions, à l’image des signatures multiples requises pour un transfert bancaire. Certains acteurs de l’écosystème ont exprimé des réserves sur cette approche, arguant que la configuration par défaut de LayerZero prévoyait un seul vérificateur.
« Si vous identifiez une configuration comme dangereuse, ne l’expédiez pas comme une option », a souligné Schwed. « La sécurité qui repose sur la lecture des documents par chacun et leur bonne compréhension n’est pas réaliste. »
Les conséquences de cet incident ne se limitent pas à Kelp. Comme c’est le cas pour de nombreux systèmes DeFi, ses actifs sont utilisés sur plusieurs plateformes, ce qui permet aux problèmes de se propager.
« Ces actifs constituent une chaîne de promesses », a expliqué Schwed. « Et la solidité de la chaîne dépend des contrôles appliqués à chaque maillon. »
Lorsqu’un maillon se brise, les autres en subissent aussi les effets. Dans cette situation, des plateformes de prêt comme Aave, qui acceptaient les actifs touchés en tant que collatéraux, doivent désormais faire face à des pertes, transformant un exploit isolé en un événement de stress généralisé.
Le marketing de la décentralisation
L’attaque met également en lumière un écart entre la manière dont la décentralisation est commercialisée et la réalité de son fonctionnement.
« Un seul vérificateur n’est pas décentralisé », a affirmé Schwed. « C’est un vérificateur décentralisé centralisé. »
Urbelis va plus loin. « La décentralisation n’est pas une caractéristique d’un système. C’est une série de choix », dit-il. « Et la solidité de l’architecture dépend de sa couche la plus centralisée. »
En pratique, cela signifie que même les systèmes que l’on considère comme décentralisés peuvent avoir des points faibles, notamment dans les couches moins visibles comme les fournisseurs de données ou l’infrastructure. Ces zones deviennent de plus en plus des cibles privilégiées pour les attaquants.
Cette évolution pourrait expliquer la récente focalisation des attaques sur des infrastructures de cross-chain et de restaking, selon Urbelis, ciblant les composantes du crypto qui transfèrent des actifs entre systèmes ou permettent leur réutilisation.
Ces couches, essentielles mais complexes, se trouvent souvent sous des applications plus visibles. Elles détiennent également des montants importants de valeur, les rendant particulièrement attrayantes pour les hackers.
Alors que les vagues précédentes de hacks se concentraient sur des échanges ou des failles de code évidentes, l’activité récente suggère un tournant vers ce que l’on pourrait appeler la plomberie de l’industrie, les systèmes qui relient tout ensemble, mais qui sont plus difficiles à surveiller et plus simples à mal configurer.
À mesure que Lazarus continue de s’adapter, le plus grand risque pourrait ne pas résider dans des vulnérabilités inconnues, mais dans des failles connues qui ne sont pas complètement corrigées.
L’exploitation de Kelp n’a pas introduit une nouvelle faiblesse, mais a révélé combien l’écosystème reste exposé à des vulnérabilités familières, notamment lorsque la sécurité est perçue comme une recommandation plutôt qu’une exigence.
Alors que les attaquants agissent plus rapidement, cette lacune devient à la fois plus facile à exploiter et bien plus coûteuse à ignorer.
Points à retenir
- Les hackers liés à la Corée du Nord semblent évoluer vers des attaques plus organisées sur le secteur des cryptomonnaies.
- Le cas de Kelp démontre que certaines failles proviennent de choix de configuration, renforçant la nécessité d’une approche sécurisée dès la conception.
- La dépendance sur un seul vérificateur a exposé le système à des manipulations simples mais efficaces.
- Les attaques ciblent de plus en plus les couches fondamentales des systèmes décentralisés, souvent moins surveillées.
- L’écart entre le marketing de la décentralisation et la réalité opérationnelle met en lumière les vulnérabilités potentielles.
En résumé, ces événements soulignent l’importance d’une sécurité intégrée dès les premières étapes de la conception. Les acteurs du secteur doivent non seulement chercher à résoudre les failles, mais également à repenser comment la décentralisation est construite et perçue. Alors que le paysage des menaces évolue, il est essentiel d’anticiper et de s’adapter pour protéger les actifs numériques contre des attaques de plus en plus sophistiquées.
Pas des conseils en investissement
Les informations fournies sur ce site web ne doivent pas être considérées comme des conseils en investissement, des conseils financiers, des conseils en trading ou toute autre sorte de conseil et aucun contenu du site web ne doit être considéré de la sorte. LesNews ne vous recommande pas d'acheter, vendre ou détenir des cryptomonnaies. Faites preuve de vigilance et consultez votre conseiller financier avant de prendre toute décision en matière d'investissement
Avis de non-responsabilité
[/not-theb]Avis de non-responsabilité. LesNews ne cautionne aucun contenu ou produit figurant sur cette page. Bien que nous nous efforcions de vous fournir toutes les informations importantes que nous avons pu obtenir, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action liée à l'entreprise et assumer l'entière responsabilité de leurs décisions, et cet article ne peut être considéré comme un conseil d'investissement..