#KelpDAOBridgeHacked

**Exploitation du pont KelpDAO : Analyse complète du piratage DeFi d’un montant de $292 millions**

Le 18 avril 2026, l’écosystème de la finance décentralisée a été témoin d’une de ses violations de sécurité les plus importantes lorsque le pont rsETH alimenté par LayerZero de KelpDAO a été exploité, entraînant environ $292 millions de pertes. Cet incident a secoué le paysage DeFi, déclenchant une cascade de réponses d’urgence à travers plusieurs protocoles de prêt et révélant des vulnérabilités critiques dans l’infrastructure des ponts inter-chaînes.

**Le mécanisme de l’exploitation**

Vers 17h35 UTC le 18 avril, un attaquant a réalisé une exploitation sophistiquée ciblant le pont rsETH de KelpDAO, qui utilise la technologie d’adaptateur de jeton fongible omnichaine (OFT) de LayerZero. L’attaquant a réussi à forger un message inter-chaînes via la fonction lzReceive, contournant ainsi les mécanismes de validation sur le réseau principal Ethereum. En usurpant la chaîne source comme Unichain (EID 30320), l’attaquant a pu libérer 116 500 jetons rsETH non garantis du coffre-fort du pont sans dépôt correspondant sur la chaîne source.

La cause principale de cette exploitation a été identifiée comme une configuration fragile du réseau de vérificateurs décentralisés 1-sur-1 (DVN), qui dépendait de points de terminaison RPC limités. Ces points de terminaison semblent avoir été compromis, alimentant de fausses données de vérification au contrat du pont. Notamment, aucun brûlage de jetons réel n’a eu lieu sur la chaîne source, mais le pont a à tort créé l’équivalent en rsETH sur le réseau principal Ethereum. Le hash de transaction clé pour cette exploitation est 0x1ae232da212c45f35c1525f851e4c41d529bf18af862d9ce9fd40bf709db4222, traçable sur des explorateurs de blockchain tels que Routescan.

**Conséquences immédiates et contagion DeFi**

Plutôt que de simplement conserver les rsETH volés, l’attaquant a immédiatement déployé ces jetons non garantis comme collatéral dans plusieurs protocoles de prêt, transformant une faille de sécurité du pont en un événement de contagion systémique dans la DeFi. Les rsETH volés ont été déposés dans les marchés Aave V3 et V4 sur Ethereum et Arbitrum, ainsi que dans Compound V3, Euler, et environ 30 autres plateformes de prêt. De ces positions, l’attaquant a emprunté environ 83 427 WETH et wstETH, avec des détails spécifiques montrant 52 834 WETH empruntés sur Ethereum et 29 782 WETH plus 821 wstETH sur Arbitrum.

Cette stratégie de levier agressive a créé une exposition significative à la mauvaise dette dans tout l’écosystème DeFi. Les estimations actuelles situent les pertes potentielles entre $120 millions et $236 millions dans les protocoles de prêt affectés, Aave étant le plus exposé avec potentiellement $230 millions de mauvaise dette. La situation a mis une pression énorme sur le jeton de gouvernance AAVE et soulevé de sérieuses questions sur les pratiques de gestion des risques des principales plateformes de prêt.

**Protocoles de réponse d’urgence**

La réaction à cette exploitation a été rapide mais réactive. Vers 18h21 UTC le 18 avril, le multisig d’urgence de KelpDAO a exécuté un gel des contrats principaux rsETH sur le réseau principal et tous les réseaux Layer 2. Peu après, Aave a décidé de geler les marchés rsETH sur V3 et V4, décision rapidement imitée par Spark, Fluid, Ethena, Upshift, Morpho et de nombreux autres protocoles.

Stani Kulechov, fondateur et CEO d’Aave, a confirmé via X que le rsETH avait été gelé sur Aave V3 et V4, et que l’actif avait été privé de tout pouvoir d’emprunt en réponse directe à l’exploitation du pont KelpDAO. Le compte officiel d’Aave a indiqué que la communauté devrait discuter si le rsETH devait être définitivement retiré de tous les marchés Aave une fois la crise immédiate résolue, suivant un modèle établi après des événements de mauvaise dette antérieurs.

**Attribution et analyse technique**

Des chercheurs en sécurité et des sociétés d’analyse blockchain ont attribué cette attaque au groupe Lazarus de Corée du Nord, un collectif de hackers parrainé par l’État, connu pour cibler des plateformes de cryptomonnaie. La méthodologie d’attaque correspond aux tactiques établies du groupe Lazarus, incluant une intrusion patiente, la manipulation de mécanismes de confiance, et la suppression des capacités de détection.

LayerZero Labs a fourni des détails techniques supplémentaires concernant la vecteur d’attaque. Selon leur analyse, l’attaquant a accédé à la liste des points de terminaison RPC utilisés par leur infrastructure DVN, compromettant ensuite deux nœuds indépendants fonctionnant sur des clusters séparés sans connexion directe. L’attaquant a ensuite remplacé les binaires des nœuds op-geth, contrôlant ainsi les données de vérification alimentant les contrats du pont.

KelpDAO aurait imputé la faille à l’infrastructure de LayerZero, tandis que LayerZero a répliqué que le problème provenait de la configuration spécifique du DVN de KelpDAO. LayerZero maintient que eux et d’autres parties externes avaient déjà communiqué des bonnes pratiques pour la diversification du DVN à KelpDAO, suggérant qu’une configuration appropriée aurait pu prévenir l’exploitation.

**Impact sur le marché et dépegage de rsETH**

L’exploitation a eu de graves conséquences sur la position de marché de rsETH. Le jeton a connu un dépegage significatif par rapport à son ratio de garantie ETH prévu, créant de l’incertitude pour les détenteurs sur plus de 20 réseaux blockchain où rsETH wrapped est déployé. Avec environ 18 % de l’offre en circulation de rsETH désormais non garantie, la confiance dans ce dérivé de staking liquide a été fortement ébranlée.

L’écosystème DeFi plus large a également ressenti l’impact, avec des pertes totales par piratage pour 2026 dépassant $750 millions jusqu’à mi-avril. Cet exploit de KelpDAO a dépassé le précédent record de 2026, détenu par le piratage de Drift Protocol d’un montant de $285 millions le 1er avril, plusieurs millions de dollars de plus. La concentration des exploits de ponts en 2026 a mis en lumière les défis de sécurité persistants pour l’infrastructure inter-chaînes.

**Situation actuelle et efforts de récupération**

Au 21 avril 2026, KelpDAO et LayerZero collaborent activement pour une analyse approfondie des causes racines et un rapport post-mortem. KelpDAO a confirmé via leur compte officiel X qu’ils travaillent avec LayerZero, Unichain, des auditeurs de sécurité et des experts blockchain pour enquêter sur l’incident et élaborer un cadre de récupération.

LayerZero a indiqué qu’ils étaient au courant de l’incident depuis qu’il s’est produit et qu’ils travaillent activement à la remédiation avec l’équipe de KelpDAO. Ils ont souligné que d’autres applications utilisant l’infrastructure LayerZero restent sécurisées et qu’un rapport détaillé sera publié prochainement en collaboration avec KelpDAO et l’équipe de réponse à la sécurité SEAL 911.

Les adresses des attaquants, notamment 0x1F4C1c2e610f089D6914c4448E6F21Cb0db3adeF, ont été identifiées sur les principaux explorateurs blockchain et sont surveillées pour tout mouvement des fonds volés. Cependant, compte tenu de la sophistication de l’attaque et de l’implication d’acteurs parrainés par l’État, les perspectives de récupération restent incertaines.

**Leçons clés**

Cet exploit marque un tournant pour la sécurité DeFi, démontrant comment les vulnérabilités des ponts peuvent entraîner des risques systémiques pour tout l’écosystème. L’incident souligne l’importance cruciale de configurations robustes du DVN, de mécanismes de vérification diversifiés, et d’une gestion proactive des risques dans les protocoles inter-chaînes. Pour les utilisateurs, cet événement rappelle la dangerosité des actifs wrapped et la nature interconnectée des marchés de prêt DeFi modernes.

La situation continue d’évoluer, avec les protocoles affectés cherchant à quantifier les pertes et à élaborer des stratégies de remédiation. Il est conseillé aux utilisateurs de suivre les canaux officiels de KelpDAO, LayerZero, et des plateformes de prêt concernées pour des mises à jour sur d’éventuels plans de remboursement ou mécanismes de récupération.