Moins de trois semaines après que des hackers liés à la Corée du Nord aient utilisé l'ingénierie sociale pour frapper la société de trading crypto Drift, des hackers liés à la nation semblent avoir réalisé une autre exploitation majeure avec Kelp.
L'attaque contre Kelp, un protocole de restaking lié à l'infrastructure cross-chain de LayerZero, suggère une évolution dans la manière dont les hackers liés à la Corée du Nord opèrent, ne cherchant pas seulement des bugs ou des identifiants volés, mais exploitant les hypothèses de base intégrées dans les systèmes décentralisés.
Pris ensemble, les deux incidents pointent vers quelque chose de plus organisé qu'une série de hacks isolés, alors que la Corée du Nord continue d'intensifier ses efforts pour détourner des fonds du secteur crypto.
« Ce n'est pas une série d'incidents ; c'est une cadence », a déclaré Alexander Urbelis, directeur de la sécurité de l'information et conseiller général chez ENS Labs. « Vous ne pouvez pas vous sortir d'un calendrier d'approvisionnement par des correctifs. »
Plus de 500 millions de dollars ont été siphonnés à travers les exploitations de Drift et Kelp en un peu plus de deux semaines.
Comment Kelp a été compromis
Au fond, l'exploitation de Kelp n'impliquait pas de casser le chiffrement ou de craquer des clés. Le système fonctionnait en fait comme il avait été conçu. Au contraire, les attaquants ont manipulé les données alimentant le système et l'ont forcé à se fier à ces entrées compromises, l'amenant à approuver des transactions qui ne se sont jamais réellement produites.
« L'échec de sécurité est simple : un mensonge signé reste un mensonge », a déclaré Urbelis. « Les signatures garantissent l'auteur ; elles ne garantissent pas la vérité. »
En termes plus simples, le système vérifiait qui envoyait le message, pas si le message lui-même était correct. Pour les experts en sécurité, cela rend ceci moins une question de nouveau hack astucieux et plus une exploitation de la façon dont le système a été configuré.
« Cette attaque ne concernait pas le cassage de la cryptographie », a déclaré David Schwed, directeur des opérations de la société de sécurité blockchain SVRN. « Il s'agissait d'exploiter la façon dont le système a été configuré. »
Un problème clé était un choix de configuration. Kelp s'appuyait sur un seul vérificateur, essentiellement un seul contrôleur, pour approuver les messages cross-chain. C'est parce que c'est plus rapide et plus simple à mettre en place, mais cela supprime une couche de sécurité critique.
LayerZero a depuis recommandé d'utiliser plusieurs vérificateurs indépendants pour approuver les transactions suite à cet incident, similaire à l'exigence de signatures multiples sur un virement bancaire. Certains dans l'écosystème ont contesté ce cadrage, affirmant que la configuration par défaut de LayerZero était d'avoir un seul vérificateur.
« Si vous avez identifié une configuration comme non sécurisée, ne la proposez pas comme option », a déclaré Schwed. « Une sécurité qui dépend de ce que tout le monde lise la documentation et fasse les choses correctement n'est pas réaliste. »
Les retombées ne sont pas restées limitées à Kelp. Comme beaucoup de systèmes DeFi, ses actifs sont utilisés sur plusieurs plateformes, ce qui signifie que les problèmes peuvent se propager.
« Ces actifs sont une chaîne de reconnaissances de dette », a déclaré Schwed. « Et la chaîne n'est aussi solide que les contrôles sur chaque maillon. »
Quand un maillon se brise, les autres sont affectés. Dans ce cas, les plateformes de prêt comme Aave qui acceptaient les actifs impactés comme collatéral font maintenant face à des pertes, transformant une seule exploitation en un événement de stress plus large.
Marketing de la décentralisation
L'attaque expose également un écart entre la façon dont la décentralisation est commercialisée et comment elle fonctionne réellement.
« Un seul vérificateur n'est pas décentralisé », a déclaré Schwed. « C'est un vérificateur décentralisé centralisé. »
Urbelis le formule de manière plus large.
« La décentralisation n'est pas une propriété qu'un système possède. C'est une série de choix », a-t-il déclaré. « Et la pile n'est aussi solide que sa couche la plus centralisée. »
En pratique, cela signifie que même les systèmes qui semblent décentralisés peuvent avoir des points faibles, en particulier dans les couches moins visibles comme les fournisseurs de données ou l'infrastructure. Ce sont de plus en plus là où les attaquants se concentrent.
Ce changement peut expliquer le ciblage récent de Lazarus.
Le groupe a commencé à se concentrer sur l'infrastructure cross-chain et de restaking, a déclaré Urbelis, les parties de la crypto qui déplacent des actifs entre les systèmes ou permettent leur réutilisation.
Ces couches sont critiques mais complexes, souvent situées sous des applications plus visibles. Elles ont également tendance à détenir de grandes quantités de valeur, ce qui en fait des cibles attrayantes.
Si les vagues antérieures de hacks crypto se concentraient sur les échanges ou les défauts de code évidents, l'activité récente suggère un mouvement vers ce qui pourrait être appelé la plomberie de l'industrie, les systèmes qui connectent tout ensemble, mais sont plus difficiles à surveiller et plus faciles à mal configurer.
Alors que Lazarus continue de s'adapter, le plus grand risque peut ne pas être les vulnérabilités inconnues, mais celles connues qui ne sont pas pleinement traitées.
L'exploitation de Kelp n'a pas introduit un nouveau type de faiblesse. Elle a montré à quel point l'écosystème reste exposé à des faiblesses familières, en particulier lorsque la sécurité est traitée comme une recommandation plutôt qu'une exigence.
Et alors que les attaquants se déplacent plus rapidement, cet écart devient à la fois plus facile à exploiter et beaucoup plus coûteux à ignorer.
Lire la suite : Les hackers nord-coréens mènent des vols massifs parrainés par l'État pour financer leur économie et leur programme nucléaire
Source : https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
