#KelpDAOBridgeHacked Kelp DAO Pont Franchi Hacked : $292 Million d'Exploits Secoue la DeFi jusqu'à son cœur

Une défaillance catastrophique de la sécurité inter-chaînes a conduit au plus grand piratage DeFi de 2026, déclenchant une guerre de blame acerbe entre Kelp DAO et LayerZero tout en menaçant de paralyser des protocoles de prêt majeurs comme Aave.

Dans ce qui est rapidement devenu l'exploitation (DeFi) la plus dévastatrice de l'année, Kelp DAO a subi une perte de $292 million au cours du week-end. L'attaque visait le pont inter-chaînes alimenté par LayerZero du protocole, entraînant le vol de 116 500 jetons rsETH.

L'incident, qui s'est produit le 18 avril, n'a pas seulement drainé une part importante de la liquidité de Kelp, mais a également déclenché une crise en cascade dans l'écosystème, impliquant le géant du prêt Aave et suscitant un conflit houleux sur la responsabilité ultime de la faille de sécurité.

Le vecteur d'attaque : comment les hackers ont contourné la sécurité

L'attaquant a financé son portefeuille via Tornado Cash environ 10 heures avant l'exploitation, une technique d'obfuscation classique utilisée par des groupes de hackers sophistiqués. Les premières investigations, y compris celles du détective blockchain ZachXBT, pointent vers le groupe Lazarus de Corée du Nord comme le probable auteur.

Le mécanisme de l'attaque était très technique. Selon les rapports, les hackers ont compromis une liste de nœuds RPC utilisés par le réseau vérifié décentralisé de LayerZero Labs (DVN). En empoisonnant deux nœuds et en lançant une attaque DDoS sur les autres, les attaquants ont forcé le réseau à accepter un message inter-chaînes frauduleux.

Ce faux message a trompé le contrat de pont de Kelp DAO pour « libérer » 116 500 rsETH sur le réseau principal Ethereum qui aurait dû rester verrouillé.

Le jeu de blame : Kelp DAO contre LayerZero

Dans la foulée, un différend public a éclaté entre Kelp DAO et LayerZero concernant la cause profonde de la vulnérabilité.

· Position de LayerZero : Le protocole de messagerie a accusé sans ambiguïté Kelp DAO d’avoir utilisé une configuration « 1-de-1 DVN » (Réseau Vérifié Décentralisé). Ils soutiennent que cette configuration a créé un point de défaillance catastrophique, car il n’y avait pas de second validateur indépendant pour signaler la transaction malveillante. LayerZero affirme avoir communiqué les meilleures pratiques en matière de diversification, mais Kelp a choisi de ne pas les adopter.
· Défense de Kelp DAO : Dans une réfutation ferme, Kelp DAO a rejeté ces affirmations, déclarant que le modèle DVN 1-de-1 était la configuration par défaut décrite dans la documentation de LayerZero pour les déploiements de OFT (Jeton Fungible Omnichaîne). Kelp maintient qu’il a opéré sur cette infrastructure depuis janvier 2024 et que la configuration avait été précédemment confirmée comme appropriée par des représentants de LayerZero.

La contagion se propage : Aave face à $230M Trou

Les conséquences les plus graves du piratage sont le risque systémique posé à Aave, le principal protocole de prêt DeFi.

Au lieu de vendre les rsETH volés, l’attaquant a déposé 89 567 de ces jetons en tant que garantie et a emprunté environ $190 million en WETH et wstETH. Cela a laissé Aave avec une garantie dont la valeur est fondamentalement compromise.

Selon un rapport d’incident d’Aave Labs, les pertes potentielles pour Aave varient énormément selon la façon dont Kelp DAO décide d’allouer le déficit :

1. Perte partagée ($124 million) : Si les pertes sont réparties entre tous les détenteurs de rsETH (événement de dépeg de 15%).
2. Isolement Layer 2 ($230 million) : Si les pertes sont isolées uniquement aux réseaux Layer 2, laissant les avoirs du réseau principal d’Aave partiellement non garantis.

En réponse, Aave a gelé les marchés rsETH sur V3 et V4, en mettant le ratio prêt/valeur à zéro pour empêcher tout nouvel emprunt. Le jeton Aave (AAVE) a chuté de 10% suite à cette annonce, et plus de $10 milliard en valeur totale verrouillée (TVL) a fui le protocole alors que les utilisateurs se précipitaient pour retirer leurs fonds.

Freins d’urgence : Arbitrum gèle $71 Million

Dans une intervention rare de gouvernance rapide, le Conseil de sécurité d’Arbitrum est intervenu pour geler 30 766 ETH — évalués à environ 71,1 millions de dollars — liés à l’exploitation sur le réseau Arbitrum One.

Les fonds ont été transférés vers un portefeuille intermédiaire gelé. Arbitrum a déclaré que ces actifs resteraient immobiles en attendant une décision formelle de gouvernance, ce qui pourrait entraîner le remboursement des utilisateurs. Le conseil a précisé qu’il avait agi avec l’accord des forces de l’ordre concernant l’identité de l’exploiteur.

Que se passe-t-il ensuite ?

Pour l’instant, la situation reste fluide mais critique. Kelp DAO a suspendu ses contrats rsETH sur le réseau principal et plusieurs réseaux Layer-2. La principale difficulté pour les efforts de résolution est que Kelp DAO ne dispose probablement pas de la taille du trésor nécessaire pour couvrir la perte de $292 million de manière unilatérale.

Les observateurs de l’industrie suggèrent que LayerZero pourrait être contraint d’intervenir pour préserver la réputation de son écosystème OFT, ou que Aave pourrait devoir utiliser son trésor DAO ($181 million) pour couvrir la dette impayée. Cependant, les deux parties nient actuellement toute responsabilité directe.