# Configuration Articles associés

Le code n’a pas de problème, mais il a été volé : qu’est-ce que la « vulnérabilité de configuration DVN », responsable du plus grand piratage de 2026 ?

Le 18 avril 2026, Kelp DAO a subi une attaque majeure dans le DeFi, perdant 116 500 rsETH (équivalant à 293 millions de dollars) en raison d'une faille de configuration dans le protocole LayerZero V2. Contrairement aux vulnérabilités classiques du code, cette attaque a exploité un paramètre de configuration : le seuil DVN (Decentralized Verifier Network) était défini sur 1-of-1, signifiant qu'une seule validation de nœud était nécessaire pour autoriser des messages cross-chain. Les attaquants ont piraté ce nœud unique, généré de faux messages, et drainé les actifs. Les fonds volés ont été utilisés comme garantie sur Aave V3, Compound V3 et Euler pour emprunter 236 millions de dollars en WETH avant de disparaître. Aave a subi une créance douteuse estimée à 177 millions de dollars, impactant directement ses utilisateurs. Cet incident souligne les limites des audits de sécurité traditionnels, qui se concentrent sur le code mais ignorent souvent les risques de configuration et la sécurité opérationnelle (OpSec). Il rappelle également le piratage de Nomad (190 millions de dollars en 2022), dû à une erreur de configuration similaire. LayerZero a précisé que d'autres applications utilisant des configurations DVN plus sécurisées (comme 2-of-3 ou 5-of-9) n'ont pas été affectées. Une revue des paramètres de sécurité des bridges cross-chain est urgente.

marsbit04/20 00:00