Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
#KelpDAOBridgeHacked
L'écosystème de la finance décentralisée a été frappé par l'une de ses violations de sécurité les plus graves à ce jour, car Kelp DAO a subi une exploitation massive entraînant environ $292 millions de pertes. L'attaque, qui s'est déroulée le 18 avril, visait le pont inter-chaînes alimenté par LayerZero de Kelp DAO et a conduit au vol de 116 500 jetons rsETH, provoquant des secousses dans plusieurs protocoles DeFi.
Ce qui rend cet incident particulièrement alarmant, ce n'est pas seulement l'ampleur de la perte, mais aussi l'impact en cascade qu'il a déclenché dans l'écosystème plus large, y compris le géant du prêt Aave, et le différend croissant entre les fournisseurs d'infrastructure sur la responsabilité.
Comment l'attaque s'est produite
Les enquêteurs rapportent que l'attaquant a financé son portefeuille via Tornado Cash environ 10 heures avant de lancer l'exploitation, une méthode courante utilisée pour dissimuler l'origine des transactions. Une analyse préliminaire, y compris des insights partagés par l'enquêteur blockchain ZachXBT, suggère une possible implication du groupe Lazarus, un collectif de hackers lié à la Corée du Nord, connu pour ses exploits sophistiqués dans la DeFi.
La racine technique de l'attaque semble être une compromission des nœuds RPC utilisés dans le Réseau Vérifié Décentralisé (DVN) de LayerZero. L'attaquant aurait empoisonné deux nœuds validateurs tout en lançant simultanément une attaque DDoS contre les autres. Cette perturbation a permis à un message inter-chaînes frauduleux d'être validé.
En conséquence, le contrat du pont de Kelp DAO a été trompé en libérant 116 500 rsETH sur le réseau principal Ethereum, même si les actifs n'ont jamais été déverrouillés de manière légitime.
Conflit croissant : qui est responsable ?
Suite à l'exploitation, une querelle acharnée a éclaté entre Kelp DAO et LayerZero.
LayerZero affirme que Kelp DAO a utilisé une « configuration DVN 1-sur-1 », ce qui a créé un point de défaillance unique. Selon LayerZero, les meilleures pratiques de l'industrie recommandent plusieurs validateurs indépendants pour prévenir précisément ce type d'attaque. Ils soutiennent que Kelp DAO a ignoré les recommandations de diversification.
Kelp DAO, cependant, rejette fermement cette affirmation. L'équipe insiste sur le fait que la configuration 1-sur-1 était la configuration par défaut fournie dans la documentation de LayerZero pour les déploiements précoces d'OFT. Ils argumentent également que des représentants de LayerZero avaient déjà approuvé l'architecture, ce qui signifie que la responsabilité ne peut pas être rétroactivement transférée.
La contagion se propage à Aave
Les conséquences se sont rapidement étendues au-delà de Kelp DAO. L'attaquant a déposé 89 567 rsETH dans Aave en tant que garantie et a emprunté environ $190 millions en WETH et wstETH, exposant Aave à un risque important de créances douteuses.
Aave Labs estime que les pertes potentielles se situent entre $124 millions et $230 millions, selon que les pertes soient socialisées entre les détenteurs ou isolées à certains réseaux.
En réponse, Aave a immédiatement gelé les marchés rsETH sur plusieurs versions, réduit les paramètres de garantie à zéro, et déclenché des contrôles d'urgence contre les risques. Le jeton de gouvernance du protocole, AAVE, a chuté de 10 %, tandis que plus de $10 milliards de TVL auraient quitté la plateforme dans la panique.
Actions de gouvernance d'urgence
Sur Arbitrum, les validateurs ont rapidement agi en gelant environ 71,1 millions de dollars en ETH liés à l'exploitation. Les fonds ont été transférés vers un portefeuille sécurisé en attendant les décisions de gouvernance, avec une possible indemnisation des utilisateurs.
Les autorités et les chercheurs en sécurité seraient également impliqués dans la traçabilité de l'identité de l'attaquant et du mouvement des fonds.
Que se passe-t-il ensuite ?
Kelp DAO a suspendu tous les contrats rsETH sur plusieurs chaînes, mais le problème principal reste non résolu : le protocole manque probablement de réserves de trésorerie suffisantes pour couvrir la perte de $292 millions.
Les scénarios de sauvetage possibles incluent une intervention de LayerZero pour protéger la réputation de son écosystème, l'utilisation des fonds de la trésorerie par le DAO d'Aave pour couvrir la créance douteuse, ou une perte socialisée plus large parmi les détenteurs de rsETH. Cependant, aucune de ces solutions n'a été confirmée.
Pour l'instant, l'incident demeure l'une des exploitations DeFi les plus dommageables de 2026, révélant des faiblesses critiques dans l'infrastructure inter-chaînes et ravivant les débats sur la décentralisation versus la sécurité dans les systèmes cryptographiques modernes.
📌 Détail :
https://www.gate.com/announcements/article/50593
#GateSquare #CreatorCarnival #ContentMining #Gate13周年