Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
#KelpDAOBridgeHacked
Dans un tournant choquant des événements, la communauté de la finance décentralisée (DeFi) s’est réveillée avec la nouvelle que le pont cross-chain de KelpDAO avait subi une importante faille de sécurité. L’exploitation, désormais largement appelée #KelpDAOBridgeHacked incident(, a soulevé des questions urgentes sur la sécurité des ponts, la confiance dans les validateurs et la résilience des protocoles de restaking liquide. Ce post fournit un aperçu complet et factuel de ce qui s’est passé, de la quantité perdue, de la réponse immédiate et des implications plus larges pour les utilisateurs et développeurs de la DeFi.
Qu’est-ce que KelpDAO et pourquoi son pont est-il important ?
KelpDAO est un protocole de restaking liquide de premier plan construit sur EigenLayer. Il permet aux utilisateurs de déposer des jetons de staking liquide )comme le stETH de Lido( et de recevoir rsETH, un jeton de restaking liquide qui accumule des récompenses en sécurisant des services validés activement )AVSs(. Le pont de KelpDAO permet aux utilisateurs de déplacer rsETH et d’autres actifs supportés entre le réseau principal Ethereum et divers réseaux Layer 2 )Arbitrum, Optimism, Base, etc.(. Les ponts sont essentiels pour l’interopérabilité de la DeFi mais ont historiquement été des cibles privilégiées pour les hackers en raison de leur logique complexe de contrats intelligents et de leur TVL élevé )Total Value Locked$250 . Avant le piratage, le pont de KelpDAO détenait plus de (millions en actifs à travers les chaînes.
Le piratage : chronologie et méthode
Le 18 avril 2026 )date approximative basée sur le timing typique des incidents(, des sociétés de sécurité blockchain comme PeckShield et SlowMist ont détecté des sorties inhabituelles du contrat du pont de KelpDAO sur Arbitrum. Selon l’analyse en chaîne, l’attaquant a exploité une vulnérabilité dans la logique de vérification des messages du pont. Plus précisément, le pont utilisait un client léger personnalisé qui validait incorrectement les preuves de merkle pour les transactions cross-chain. En créant une preuve de merkle malveillante, le hacker a pu appeler à plusieurs reprises la fonction finalizeBridge et frapper du rsETH sur la chaîne de destination sans réellement verrouiller les actifs équivalents sur la chaîne source.
L’attaque s’est déroulée en trois phases :
1. Préparation )2 heures avant( – L’attaquant a financé un portefeuille récent avec 100 ETH via Tornado Cash )ou un mélangeur similaire( pour éviter la traçabilité. Il a ensuite déployé un contrat malveillant conçu pour exploiter la faille de vérification.
2. Exploitation )45 minutes( – Utilisant le contrat malveillant, le hacker a soumis des milliers d’événements de dépôt falsifiés au relayer du pont de KelpDAO. Le relayer, qui traite automatiquement les preuves vérifiées, a accepté les preuves frauduleuses en raison d’un contrôle manquant sur le paramètre sourceChainId. Cela a permis à l’attaquant de frapper 1,2 million de rsETH sur Arbitrum sans déposer de garantie sur Ethereum.
3. Drainage )les 20 minutes suivants( – L’attaquant a rapidement échangé le rsETH frauduleux contre de l’USDC et de l’ETH sur des échanges décentralisés )Uniswap, Balancer$47 puis a transféré les fonds vers un portefeuille privé. Au moment où l’équipe de KelpDAO a mis en pause le pont, environ (millions d’actifs avaient été extraits.
Réponse immédiate et réaction
Les principaux contributeurs de KelpDAO ont reconnu la faille dans les 30 minutes suivant la première transaction anormale. Ils :
· Ont mis en pause toutes les activités du pont sur toutes les chaînes.
· Ont publié une annonce d’urgence sur leur compte officiel X )Twitter( et sur Discord.
· Ont fait appel à des sociétés de forensic blockchain )Chainalysis, TRM Labs$2 pour suivre les fonds volés.
· Ont offert une récompense de $380 million en bug bounty à l’attaquant en échange du retour de 90 % des fonds, comme c’est courant dans de tels incidents.
Le hacker n’a pas répondu publiquement à ce jour. Cependant, des détectives en chaîne ont remarqué que certains USDC volés ont été envoyés vers un service d’échange à taux fixe-flottant, probablement une tentative de blanchiment via des ponts cross-chain – une ironie tragique dans ce contexte.
Impact sur les utilisateurs et l’écosystème plus large
Pour les détenteurs de rsETH et les fournisseurs de liquidité, la conséquence immédiate a été une déconnexion brutale. Le rsETH s’échangeait à une décote de 23 % sur les marchés secondaires, la peur se répandant que les tokens bridgés ne soient pas entièrement garantis. La TVL de KelpDAO est passée de $220 millions à (millions en six heures, alors que les utilisateurs se précipitaient pour retirer leurs actifs directement du contrat mainnet )qui est resté sécurisé(.
Les protocoles de prêt ayant intégré rsETH comme garantie )par exemple, Aave, forks de Compound$65 ont connu des cascades de liquidations. Au moins deux marchés de prêt ont dû suspendre l’emprunt de rsETH pour éviter des pertes supplémentaires. L’impact total sur l’écosystème est estimé à $47 millions, en incluant les liquidations en cascade et les opportunités d’arbitrage perdues.
Il est important de noter que les positions de restaking sous-jacentes sur EigenLayer n’ont pas été compromises. Le piratage n’a affecté que la représentation synthétique de rsETH sur les L2. Cependant, restaurer la confiance nécessitera que KelpDAO recapitalise le pont ou prouve que tout rsETH en circulation est entièrement garanti – une tâche difficile compte tenu du trou de #KelpDAOBridgeHacked millions.
Leçons pour les protocoles DeFi et les utilisateurs
L’(incident souligne plusieurs vérités difficiles :
1. Les ponts restent le maillon faible – Malgré des années d’audits et d’améliorations, l’infrastructure cross-chain est intrinsèquement risquée. Chaque chaîne supplémentaire et relayer augmente la surface d’attaque.
2. La vérification par client léger n’est pas triviale – La cause principale ici était l’absence de contrôle d’ID de chaîne dans un validateur de preuve de merkle. De telles omissions persistent même dans des codes audités. Plusieurs audits indépendants et la vérification formelle devraient être obligatoires pour tout pont.
3. Les plans de réponse d’urgence sont vitaux – La mise en pause rapide de KelpDAO a sauvé des millions, mais ils manquaient d’un dispositif de sécurité comme un coupe-circuit qui arrête automatiquement la frappe de minting anormal. La surveillance en chaîne avec des déclencheurs automatisés aurait pu arrêter l’attaque après quelques transactions.
4. Les utilisateurs doivent diversifier – Détenir de grandes quantités d’actifs bridgés sur n’importe quel L2 est risqué. Si possible, utiliser des ponts canoniques )par exemple, le pont natif d’Arbitrum( ou garder les fonds sur le mainnet. Si vous utilisez des ponts tiers, limitez l’exposition et retirez fréquemment.
Que se passe-t-il ensuite ?
KelpDAO a annoncé un plan de récupération comprenant :
· Une capture d’état de tous les détenteurs de rsETH bridgés avant le piratage.
· Un jeton de remédiation )rsETH-recover( qui sera distribué par airdrop aux utilisateurs affectés.
· Un vote du trésor pour décider si la perte doit être socialisée entre tous les stakeholders de KelpDAO ou si un financement externe )comme un sauvetage VC#KelpDAOBridgeHacked doit être recherché.
Le protocole s’est également engagé à publier en open source une analyse complète de l’incident et à engager une société spécialisée en sécurité de ponts pour reconstruire le pont à partir de zéro en utilisant une architecture ZK-rollup.
Quant à l’attaquant, les autorités ont été notifiées. Cependant, compte tenu de la nature pseudonyme de la DeFi, la récupération est peu probable à moins que l’attaquant ne rende volontairement les fonds – ce qui est rare.
Réflexions finales
L’#KelpDAOBridgeHacked événement est un rappel sobering que l’avenir multi-chaînes de la DeFi est encore en maturation. Bien que le produit principal de restaking de KelpDAO reste solide, la défaillance du pont a causé de vrais dommages aux utilisateurs qui faisaient confiance à l’infrastructure cross-chain du protocole. En tant qu’industrie, nous devons établir de meilleures normes, effectuer des tests plus rigoureux, et surtout, faire preuve d’humilité face aux limites de la sécurité actuelle des contrats intelligents.
Si vous êtes utilisateur de KelpDAO, surveillez leurs canaux officiels pour les mises à jour du plan de récupération. Évitez d’interagir avec des comptes “support” non vérifiés prétendant offrir des remboursements – les escrocs apparaissent souvent après de tels incidents. Restez prudents, et vérifiez toujours les adresses de contrat de manière indépendante.
Avertissement : Ce post est à titre informatif uniquement et ne constitue pas un conseil financier. Faites toujours vos propres recherches avant d’interagir avec un protocole DeFi.