2026 Événement de sécurité majeur : le pont inter-chaînes Kelp DAO rsETH piraté, avec une perte allant jusqu'à 293 millions de dollars, de gros défauts de paiement apparaissent dans des protocoles DeFi comme Aave

Aperçu | Grok

Éditeur | Wu Blockchain

19 avril (l’événement s’est en réalité produit le 18 avril vers 17h35 UTC), le monde des cryptomonnaies a été entièrement envahi par les publications concernant l’exploitation massive du pont inter-chaînes Kelp DAO rsETH.

Ce plus grand incident de sécurité DeFi depuis 2026, ayant causé une perte d’environ 292 à 293 millions de dollars, impliquant directement environ 116 500 rsETH (soit environ 18 % de la circulation totale de rsETH).

Les hackers ont falsifié des messages via le pont inter-chaînes alimenté par LayerZero, créant en masse des rsETH sans véritable garantie de collatéral sur la blockchain Ethereum principale, puis ont utilisé ces « actifs d’air » comme garantie pour emprunter environ 236 millions de dollars d’actifs de qualité tels que WETH/ETH sur des protocoles de prêt populaires comme Aave, Compound, Euler, ce qui a entraîné un risque de créances douteuses totalisant entre 177 et 280 millions de dollars sur plusieurs protocoles. L’événement a rapidement fait le buzz sur la plateforme X (ancien Twitter), avec des discussions en chinois et en anglais dépassant le milliard de vues en quelques heures, suscitant de vastes interrogations sur la sécurité des ponts inter-chaînes, le mécanisme de re-staking LRT, et le risque systémique dans la DeFi.

Chronologie complète de l’événement

18 avril vers 17h35 UTC : lancement officiel de l’attaque. Les hackers ont exploité une vulnérabilité de configuration chez Kelp DAO sur le pont LayerZero (mode DVN 1/1, c’est-à-dire un seul nœud de validation décentralisé), en falsifiant des messages inter-chaînes, appelant la fonction lzReceive sur la blockchain Ethereum pour libérer 116 500 rsETH sans véritable garantie de backing. Plusieurs observateurs sur X (@zachxbt) ont immédiatement publié des tweets indiquant le hash de la transaction et des enregistrements d’émission anormaux.

Milieu de l’attaque : les hackers ont utilisé des outils de confidentialité comme Tornado Cash pour dissimuler l’origine des fonds, puis ont rapidement déposé ces rsETH falsifiés dans 9 protocoles de prêt majeurs (Aave V3, Compound, Euler, etc.), en tant que garanties pour emprunter de grandes quantités d’ETH/WETH réels. Les posts en temps réel sur X montrent que le taux d’utilisation des pools de prêt a atteint presque 100 %, avec certains protocoles voyant plus de 66 milliards de dollars de fonds sortir en une seule journée.

Réaction de Kelp DAO : environ 46 minutes après le début de l’attaque, le portefeuille multisignature de Kelp DAO a détecté une activité suspecte, et a rapidement suspendu les fonctions des contrats liés à rsETH sur le réseau principal et plusieurs chaînes Layer 2. Le compte officiel sur X a publié un message confirmant « une activité suspecte sur le pont rsETH » et indiquant qu’une enquête complète avait été lancée en collaboration avec l’équipe LayerZero, des auditeurs et des experts en sécurité.

Soirée du 18 avril au 19 avril : le compte officiel d’Aave sur X a publié une déclaration, gelant d’urgence le marché de garantie rsETH pour éviter une expansion supplémentaire des créances douteuses. Les autres protocoles comme Compound et Euler ont également suspendu ou limité les opérations sur ces actifs. LayerZero a répondu sur X : « l’incident est connu, une enquête est en cours pour identifier la cause racine ».

Tout le processus a été documenté en direct sur X, avec plusieurs influenceurs relayant les données on-chain, notamment en mentionnant de gros acteurs comme Justin Sun retirant massivement des fonds d’Aave, ce qui a accentué la panique sur le marché.

Analyse technique (développeurs et chercheurs en sécurité sur X)

Selon plusieurs posts techniques sur X (notamment @kittendong avec une analyse approfondie en chinois), la vulnérabilité principale réside dans la configuration du Kelp DAO pour l’OApp LayerZero (application omnichaîne) : mode DVN 1/1 (validation par un seul nœud), permettant aux hackers de falsifier des messages de validation inter-chaînes. En utilisant des payloads soigneusement construits, ils ont déclenché la création de rsETH sans actifs réels sur la chaîne cible. En substance, cela permettait aux hackers d’obtenir « virtuellement » une valeur proche de 3 milliards de dollars en actifs synthétiques.

Ensuite, ces rsETH ont été déposés en sur-collatéral dans des protocoles de prêt pour emprunter des ETH réels, illustrant une attaque de type « flash loan ». Des chercheurs en sécurité sur X ont souligné que cette attaque est très similaire à celle du pont Nomad en 2022, révélant le risque systémique combiné du « pont inter-chaînes + LRT (Liquid Restaking Token) » : la valeur de rsETH, en tant que dérivé de la re-staking ETH, dépend du staking sous-jacent, mais la phase de création inter-chaînes manque de validation décentralisée et de vérification en temps réel.

Certains posts évoquent aussi que les hackers auraient pu exploiter des clés privées ou des configurations divulguées du contrat Kelp DAO (enquête en cours), rendant la chaîne d’attaque efficace et discrète, avec des frais gas dissimulés par plusieurs couches de confusion.

Réactions officielles et mesures d’urgence

Kelp DAO : un tweet officiel indique « la suspension des fonctions des contrats rsETH sur plusieurs chaînes pour éviter d’autres pertes », et promet « une collaboration avec LayerZero et plusieurs auditeurs pour publier un rapport préliminaire sous 24 à 48 heures ».

LayerZero : leur compte officiel a déclaré « l’équipe enquête activement sur la cause racine, fournira des mises à jour transparentes dans les plus brefs délais », et a appelé tous les projets intégrant LayerZero à vérifier immédiatement leurs paramètres DVN.

Aave : dans un tweet, ils ont annoncé « avoir gelé le marché rsETH, la liquidité du protocole est sécurisée », mais la communauté reste inquiète quant à un potentiel montant de créances douteuses pouvant atteindre 280 millions de dollars.

D’autres protocoles affectés (comme Compound, Euler) ont également publié des annonces similaires, et plusieurs posts en direct sur X montrent qu’au moins 16 protocoles de prêt ou DEX ont pris des mesures restrictives.

Impact sur le marché et réaction en chaîne

L’incident a provoqué un choc brutal sur le marché DeFi :

Prix des tokens : AAVE a chuté de 17 à 19 % en 24 heures, entraînant des liquidations massives ; le token natif LayerZero ZRO a également chuté d’environ 20 % ; rsETH a fortement dévié de son ancrage, avec un prix nettement inférieur à ETH.

Impact sur la liquidité : les pools ETH d’Aave et autres protocoles ont atteint un taux d’utilisation proche de 100 %, avec plus de 66 milliards de dollars de fonds sortis en une journée, faisant disparaître près de 100 milliards de dollars de TVL en DeFi.

Effet de contagion : plusieurs analystes sur X ont publié des « cartes de propagation » montrant que la créance douteuse pourrait affecter tout l’écosystème LRT et les actifs inter-chaînes.

Comparaison historique : cet incident dépasse la perte de 285 millions de dollars du protocole Drift il y a 18 jours, devenant le plus grand piratage unique de la DeFi en 2026.

De nombreux posts dénoncent le mode « bombe à retardement » du mode DVN 1/1 de LayerZero, appelant tous les projets inter-chaînes à passer immédiatement à une configuration multi-validation (au moins 2/3 ou plus). Certains développeurs insistent : « la rapidité ne doit pas primer sur la sécurité ».

Risques liés aux LRT et aux actifs synthétiques : la communauté considère que les actifs de re-staking comme rsETH manquent de transparence dans un contexte inter-chaînes, @zachxbt et d’autres soulignant que « les LRT sans véritable garantie sont la principale surface d’attaque actuelle ».

Inquiétudes systémiques dans la DeFi : plusieurs analystes ont modélisé les réactions en chaîne potentielles, recommandant aux utilisateurs de vérifier leurs positions sur Aave, Compound, et autres protocoles, et de retirer leurs fonds exposés. Les commentaires en chinois sont nombreux, évoquant « un autre incident de pont de plusieurs centaines de millions », « peut-on encore faire confiance à la DeFi ? », « appel à des standards de sécurité plus stricts » etc.

Certains posts saluent la réaction rapide de Kelp DAO (suspension en 46 minutes), estimant que cet incident pourrait accélérer l’adoption de solutions comme la preuve à divulgation zéro (ZK), la multi-signature, et la surveillance en temps réel.

L’état d’esprit général est celui de « choc + vigilance », mais certains développeurs pensent que « révéler les failles est mieux que de les cacher, cela favorisera l’évolution à long terme du secteur ».

Leçons et recommandations pour l’industrie

Cet incident de Kelp DAO rsETH rappelle une fois de plus que même les protocoles de re-staking majeurs présentent des vulnérabilités systémiques dans la conception des ponts inter-chaînes, la configuration des validateurs et la transparence des garanties. La communauté X recommande :

Les projets doivent immédiatement auditer leur intégration LayerZero, privilégier des configurations décentralisées plus robustes.

Les utilisateurs doivent faire preuve de prudence avec les nouveaux actifs LRT inter-chaînes, privilégier ceux avec un TVL élevé, des audits transparents, et diversifier leurs risques.

L’industrie doit accélérer la mise en place de cadres de sécurité standardisés, comme l’obligation de multiples validateurs DVN, la vérification en temps réel sur la chaîne, etc.

L’enquête est toujours en cours, Kelp DAO, LayerZero et les protocoles affectés continueront à fournir des mises à jour sur X. La volatilité du marché crypto demeure, la sécurité reste la priorité absolue. Il est conseillé à tous de suivre attentivement les comptes officiels pour éviter la désinformation.