KelpDAO Risques de cascade en crise et droits d'intervention d'urgence

Points clés : La faille de pont de 290 millions de dollars de KelpDAO a déclenché une réaction en chaîne, gelant plus de 6,7 milliards de dollars de liquidités WETH sur cinq chaînes, affectant des utilisateurs n’ayant jamais interagi avec rsETH. Cet incident a également révélé les limites réelles d’un système “permissionless” : le Conseil de sécurité d’Arbitrum a effectué une mise à niveau d’un contrat atomique par gouvernance, forçant un changement d’état sans signature du propriétaire, transférant 30 766 ETH.

Le 18 avril 2026, le pont cross-chain de KelpDAO pour rsETH a été attaqué, avec une perte d’environ 290 millions de dollars, devenant la plus grande faille de sécurité DeFi de l’année. La première piste mène au Lazarus Group, une organisation d’attaque de niveau étatique, documentée comme ciblant depuis longtemps les infrastructures cryptographiques [1]. L’attaque n’a pas exploité de vulnérabilité dans un contrat intelligent, mais a injecté un poison dans un seul nœud RPC d’un réseau de validation décentralisé (DVN), falsifiant un message cross-chain, et a libéré des tokens rsETH sans destruction correspondante sur la chaîne source.

LayerZero [1] et KelpDAO [2] ont déjà fourni des détails techniques sur l’attaque. Cet article adopte une autre perspective : au lieu de décrire le processus d’attaque, il examine ce qui s’est passé après, notamment comment une dépendance à une infrastructure unique a provoqué la cascade de gel de dizaines de milliards de liquidités, et comment cette cascade a forcé un cadre de gouvernance décentralisé à exercer un pouvoir centralisé en urgence, sous l’œil du public.

La chaîne causale de l’incident de KelpDAO traverse trois niveaux de la stack “décentralisée” : la dépendance à un DVN unique a permis l’attaque ; la composabilité de la DeFi (les “Lego DeFi”, où protocoles s’imbriquent comme des blocs) a transformé cette faille en crise systémique de liquidité ; et l’ampleur de la crise a révélé que le cadre de gouvernance décentralisé pouvait, en situation critique, exercer un pouvoir centralisé d’urgence.

Contexte : Résumé de l’attaque de KelpDAO

KelpDAO est l’émetteur de rsETH. rsETH est un jeton de ré-immobilisation de liquidité (LRT), représentant une position de staking ETH répartie sur plusieurs opérateurs. Pour permettre la circulation cross-chain de rsETH, KelpDAO a intégré le protocole de messagerie LayerZero. Ce protocole dépend d’un DVN (réseau de validation décentralisé) pour vérifier la légitimité des messages cross-chain avant leur exécution sur la chaîne cible.

Choix clé : l’App rsETH de KelpDAO utilise une configuration DVN 1/1, c’est-à-dire qu’elle ne repose que sur le DVN exploité par LayerZero Labs comme seul validateur. Cela signifie que la sécurité cross-chain de rsETH dépend entièrement d’un seul acteur. La documentation de LayerZero recommande explicitement une configuration multi-DVN redondante, et LayerZero indique avoir informé KelpDAO de cette meilleure pratique avant l’incident [1]. KelpDAO a répondu que la configuration 1/1 est “documentée dans la documentation LayerZero et déployée par défaut pour toute nouvelle implémentation OFT”, et qu’elle a été considérée comme appropriée lors de l’expansion en L2 [2].

L’attaquant a compromis deux nœuds RPC utilisés par le DVN de LayerZero, en remplaçant leurs binaires par une version malveillante. Ces nœuds malveillants ne renvoyaient que de fausses données d’état sur la chaîne, pour leur IP, tout en apparaissant normaux pour les autres observateurs (y compris l’infrastructure de monitoring de LayerZero). Parallèlement, une attaque DDoS contre les nœuds RPC non compromis a forcé le basculement vers le nœud empoisonné. Résultat : le DVN a confirmé un message cross-chain jamais vu sur la chaîne source, sans destruction correspondante, libérant 116 500 rsETH via l’adaptateur Ethereum (0x85d4…8ef3). La transaction de libération est 0x1ae232…db4222. La preuve on-chain est claire : la cible Ethereum a accepté le nonce 308, alors que le nonce maximum sortant rapporté par la source Unichain est toujours 307 [10].

KelpDAO a détecté l’anomalie en 46 minutes et a suspendu tous les contrats concernés. Cela a empêché une attaque supplémentaire sur 40 000 rsETH (environ 95 millions de dollars) [2]. Mais à ce stade, l’attaquant était déjà passé à la phase suivante : utiliser des protocoles de prêt DeFi pour convertir le rsETH volé en actifs de prêt.

De tokens falsifiés à des actifs prêtés

L’attaquant n’a pas simplement vendu le rsETH volé. Les 116 500 tokens ont été dispersés dans sept portefeuilles secondaires, puis convertis par divers moyens : échange direct via agrégateurs en ETH, dépôt dans des positions de prêt sur Compound V3, ou pont vers Arbitrum [10]. Mais la voie la plus impactante a été via Aave : 89 567 rsETH (environ 221 millions de dollars) ont été déposés sur deux marchés Aave sur différentes chaînes : Ethereum Core et Arbitrum. En utilisant la fonctionnalité E-Mode d’Aave (qui permet d’augmenter la LTV pour des actifs liés), l’attaquant a emprunté 82 620 WETH et 821 wstETH en utilisant rsETH comme garantie [3].

Ces positions ont été fortement levierisées. La “health factor” (facteur de santé) des sept adresses de l’attaquant se situe entre 1,01 et 1,03, juste au-dessus du seuil de liquidation [3]. La raison : la LTV d’Aave pour rsETH en E-Mode est fixée à 93 %, avec un seuil de liquidation à 95 %, laissant une marge de sécurité de seulement 2 points de pourcentage.

Détails par adresse sur les deux marchés :

Tableau 1 : Détails de la fourniture de rsETH et des emprunts WETH/wstETH par l’attaquant sur deux marchés Aave

Données : on-chain, via Etherscan, Arbiscan et DeBank, au 22 avril 2026 16:51 UTC. La valeur USD reflète les prix au moment de chaque transaction.

Effet en cascade : comment une faille de pont a gelé le WETH sur cinq chaînes

Le schéma ci-dessous résume la chaîne complète de la cascade. Les étapes 1 et 2 (faille de pont et dépôt en garantie sur Aave) ont été décrites dans la section précédente. Cette partie analyse en détail les étapes 3 à 5 : pourquoi le WETH doit être gelé, quels paramètres ont façonné la gravité de la cascade, et quels sont les coûts réels du gel.

Figure 1 : Processus en cascade de la faille de pont à la suspension du WETH sur cinq chaînes

Pourquoi le WETH doit être gelé

Le 19 avril, le “Protocol Guardian” d’Aave a gelé tous les marchés rsETH et wrsETH sur Aave V3 et V4, interdisant de nouvelles dépôts et emprunts avec rsETH comme garantie [8]. C’était la première étape attendue.

La deuxième étape inattendue est survenue le 20 avril : Aave a gelé les réserves de WETH sur Ethereum, Arbitrum, Base, Mantle et Linea [3, 8].

Pourquoi geler le WETH ? Parce qu’il s’agit d’un actif non attaqué, sans lien avec le pont. La raison : le rsETH injecté dans le système a été créé sans correspondance d’actifs sur la chaîne source. La oracles d’Aave continue à valoriser ces tokens au prix du marché, les traitant comme des collatéraux valides indiscernables du rsETH légitime. L’attaquant a exploité cette asymétrie d’information pour emprunter du WETH réel en se portant garant d’un passif non garanti, ce qui a vidé la réserve de WETH du pool de prêt, atteignant un taux d’utilisation de 100 %. Avec une utilisation maximale, les déposants en WETH ne peuvent plus retirer, et les liquidateurs ne peuvent pas exécuter de liquidation. Le mécanisme de liquidation, défense essentielle contre les créances douteuses, est en fait paralysé [3].

Si le WETH emprunté reste accessible, la liquidité restante sur d’autres chaînes peut aussi être drainée via le même mécanisme : déposer du rsETH, emprunter du WETH, puis partir. Gelé, le WETH est la seule option pour limiter l’étendue de la cascade.

Trois paramètres façonnant la cascade

L’ampleur de la cascade n’est pas fortuite. Trois paramètres du protocole déterminent la gravité du dommage direct et la portée de la propagation du gel.

1. LTV : combien de valeur d’actifs sains peut-on extraire par unité de collatéral contaminé

La LTV d’Aave en E-Mode pour rsETH est fixée à 93 %, ce qui signifie qu’avec 1 dollar de rsETH contaminé, on peut emprunter 0,93 dollar de WETH. En comparaison, la LTV de Spark Protocol pour rsETH est de 72 %, et celle de Fluid d’environ 75 % [3]. La LTV d’Aave est la plus agressive du marché.

Ce choix n’est pas une erreur : en janvier 2026, la gouvernance d’Aave a augmenté la LTV en E-Mode pour rsETH de 92,5 % à 93 %, réduisant encore la marge de sécurité déjà mince, passant de 2,5 % à 2 %. La LTV hors E-Mode est volontairement fixée à un niveau proche de zéro (0,05 %), forçant en pratique toute emprunt significatif en rsETH à passer par l’E-Mode à haute LTV.

[3] 2. Profondeur du pool : vulnérabilité des marchés à l’extraction de liquidités

Même montant emprunté, impact différent selon la profondeur du pool cible.

Tableau 2 : Taille des réserves WETH sur les marchés Aave V3 par chaîne et part d’extraction directe de l’attaquant

L’attaquant n’a déposé du rsETH que sur Aave V3. La V4 (déployée uniquement sur Ethereum en mars 2026) est aussi protégée par un gel préventif du rsETH ###, mais n’apparaît pas dans ce tableau. Les réserves WETH viennent de LlamaRisk [8] ; les emprunts de l’attaquant sont issus des détails précédents.

L’attaquant s’est concentré sur Ethereum Core et Arbitrum pour emprunter. Mais ce qui est crucial, c’est ce qui s’est passé sur les autres chaînes où il n’a pas touché aux marchés. Sur Mantle, Base et Linea, le rsETH est accepté comme collatéral. Si le pont sous-jacent est cassé, tous ces positions en rsETH sont à risque de créances douteuses. La décision d’Aave de geler préventivement le WETH sur toutes les cinq chaînes est une réponse rationnelle : si ces marchés restent ouverts, ils seront exposés à la même mécanique d’extraction que celle déjà vérifiée sur Ethereum et Arbitrum [3, 8].

[3] 3. Nombre de déploiements cross-chain : étendue de la propagation du gel

Le rsETH est utilisé comme collatéral dans 11 des 23 marchés Aave V3, dont 7 avec une exposition significative ###. L’attaquant n’a opéré que sur deux chaînes, mais le gel préventif du WETH a affecté au moins cinq chaînes, y compris celles où il n’a jamais déposé de tokens. La LTV détermine la part extraite sur chaque chaîne, la profondeur du pool influence l’impact. Mais c’est la quantité de liens de rsETH comme collatéral qui détermine la portée de la propagation du gel.

Ces paramètres ne sont pas fixes. Neuf jours avant l’incident, le 9 avril, la Risk Steward d’Aave a augmenté le plafond de rsETH : sur Ethereum, de 480 000 à 530 000, et sur Mantle, de 52 000 à 70 000 [3]. Bien que cela ne signifie pas une causalité directe (le préparatif de l’attaquant a probablement commencé bien avant), cela montre comment des ajustements de paramètres peuvent, sans le vouloir, amplifier la portée d’un événement futur.

Véritables impacts du gel

En résumé : une faille de pont de 290 millions de dollars a gelé la liquidité WETH sur cinq chaînes, avec plus de 6,7 milliards de dollars de réserves affectées.

Les pertes directes se limitent aux emprunts de l’attaquant. Mais dans la pratique, le gel n’est pas une simple interruption opérationnelle. Il bloque la liquidité des utilisateurs, empêche les retraits, perturbe les positions actives, et affaiblit la capacité de la plateforme à se défendre contre les créances douteuses via la liquidation. La majorité des utilisateurs affectés n’ont jamais interagi avec rsETH, KelpDAO ou le pont cross-chain. Ce sont des déposants et emprunteurs WETH sur Aave, participant à un marché qu’ils croyaient simple et direct.

Le WETH est l’actif de liquidité de base en DeFi. Le geler revient à fermer la plus grande banque de la ville, parce qu une autre institution financière a été victime d’une fraude avec un produit que la majorité des déposants ne connaît pas.

Le rapport de LlamaRisk [3] a modélisé deux scénarios de créances douteuses, avec une prévision de shortfall par chaîne, la plus détaillée à ce jour. Mais même cette analyse se concentre sur le risque de créance, pas sur le coût opérationnel plus large du gel : blocage des retraits, positions empêchées, affaiblissement de la capacité de liquidation. La quantification globale de l’impact en cascade reste un sujet ouvert.

Si l’attaque en cascade est complexe, la récupération ne l’est pas moins. La composabilité limite aussi la réparation. Aave ne peut pas simplement “tout dégeluer”. Chaque marché doit être évalué séparément, en fonction de l’exposition rsETH locale, du taux d’utilisation du WETH, et de l’activité de l’attaquant. La chronologie montre clairement cette complexité :

• 19 avril : le “Protocol Guardian” d’Aave a gelé toutes les réserves rsETH et wrsETH sur V3 et V4 [3].
• 20 avril : gel du WETH sur Ethereum, Arbitrum, Base, Mantle et Linea [3, 8].
• 21 avril : seul Ethereum Core V3 dégelé, avec LTV à 0 comme mesure préventive. Sur les autres chaînes, WETH reste gelé [8].
• Quatre jours après l’attaque, seul un marché a été dégelé. La reprise se fait étape par étape, marché par marché, avec gouvernance et évaluation des risques.

Réponse d’urgence : comment Arbitrum a transféré 30 766 ETH sans signature du propriétaire

Pendant que Aave gérait la cascade de prêt, Arbitrum a aussi lancé une réponse parallèle. Le 21 avril, le Conseil de sécurité d’Arbitrum a annoncé une action d’urgence : il a gelé 30 766 ETH détenus par l’attaquant sur Arbitrum One [8]. Ces fonds ont été transférés vers une adresse de gel intermédiaire (0x…0DA0), qui ne pourra être débloquée qu’après une décision de gouvernance ultérieure [6].

Action de gouvernance [7]

Le Conseil de sécurité d’Arbitrum est une composante officielle de la gouvernance de l’Arbitrum DAO, et non un organe externe ou temporaire. L’action d’urgence a été annoncée publiquement sur le forum de gouvernance d’Arbitrum ###, et exécutée après confirmation de l’identité de l’attaquant par les autorités. La transaction complète est disponible pour vérification. Le Conseil agit dans le cadre de ses pouvoirs, en équilibrant “la sécurité et l’intégrité de la communauté Arbitrum, sans nuire aux utilisateurs ou applications” [7].

Ce n’est pas une décision prise en secret, mais une action autorisée par la gouvernance, exécutée de manière transparente, avec des preuves on-chain accessibles.

Mécanisme technique [6]

Ce qui rend cette opération remarquable, ce n’est pas la décision de gouvernance en soi, mais sa mise en œuvre on-chain. Selon l’analyse Phalcon de BlockSec [6], le Conseil a utilisé une opération atomique en trois étapes :

• L’upgrade temporaire de l’inbox Ethereum (DelayedInbox) a été effectué par un “Upgrade Executor”, ajoutant une nouvelle fonction sendUnsignedTransactionOverride.
• Cette fonction a été utilisée pour créer un message cross-chain usurpant l’adresse de l’attaquant. Le message a été injecté via Bridge.enqueueDelayedMessage, avec kind=3, correspondant à L1MessageType_L2Message dans Arbitrum Nitro.
• Ce type de message permet d’exécuter un L2MessageKind_UnsignedUserTx sans signature. La source du message (sender) a été remplacée par une entrée contrôlée par l’appelant, utilisant une conversion d’adresse L1→L2 pour faire apparaître l’attaquant comme l’expéditeur.

Après exécution, l’inbox a été restauré à sa version initiale. Les transactions L1 ### et L2 correspondantes sont visibles sur Phalcon Explorer. La transaction L2 montre un transfert “de l’attaquant vers 0x…0DA0”, mais il ne s’agit pas d’un transfert classique signé par un utilisateur, mais d’un changement d’état forcé au niveau de la chaîne : une mise à niveau d’infrastructure gouvernée, permettant de transférer des fonds sans clé privée.

La difficulté du décentralisé [9]

Le principe est simple : un contrat upgradable donne un pouvoir illimité. Si le contrat peut être mis à jour, ses comportements peuvent être modifiés pour faire n’importe quoi, y compris transférer des fonds sans signature. C’est une capacité inhérente à tout système construit avec des contrats upgradables. Les 30 766 ETH sont actuellement stockés dans une adresse de gel. La décision de leur traitement appartient à la gouvernance Arbitrum, qui pourra décider ultérieurement. La mise à niveau atomique, l’exécution et la restauration n’ont laissé aucune trace permanente dans le contrat inbox, ni affecté d’autres utilisateurs ou applications [4].

D’un point de vue raisonnable, l’action du Conseil de sécurité d’Arbitrum est justifiée. L’attaquant a été identifié comme un acteur d’envergure étatique, la police a été impliquée, la gouvernance a été transparente, et 71 millions de dollars ont été récupérés ou au moins empêchés de servir à blanchir de l’argent.

Mais cette capacité, qui a permis cette opération, n’est pas limitée à ce cas précis. La même mécanique de mise à niveau, exécution et restauration pourrait en principe transférer tout actif détenu par n’importe quelle adresse sur Arbitrum One. Le pouvoir du Conseil n’est pas limité à l’adresse de l’attaquant ou aux fonds volés : c’est une capacité universelle, régie par la gouvernance, et non par le code.

C’est là le vrai dilemme. Les utilisateurs, en interagissant avec L2, ont une conception implicite : “Mes actifs sont contrôlés par ma clé privée, personne ne peut les transférer sans ma signature.” L’incident KelpDAO montre que ce modèle est incomplet. Sur Arbitrum, et dans tout L2 avec un contrat de pont upgradable et un Conseil de sécurité, les actifs peuvent être transférés par une action de gouvernance totalement dénuée de signature.

Arbitrum n’est pas une exception. La suspension de marché d’Aave est aussi une action d’urgence gouvernée. Dans l’incident KelpDAO, plusieurs protocoles ont exercé un pouvoir centralisé d’urgence : Aave a gelé cinq marchés, le Conseil d’Arbitrum a effectué un transfert forcé, KelpDAO a suspendu globalement. La réponse à cette crise dans un écosystème “décentralisé” est en pratique une coordination de pouvoirs centralisés.

Ce n’est pas une question de savoir si ces pouvoirs doivent exister. Le cas KelpDAO montre qu’ils sont nécessaires. La question est : quelles sont leurs limites, leurs conditions de déclenchement, et leur responsabilité ? La transparence doit être totale. Les utilisateurs qui déposent des actifs sur L2 doivent pouvoir répondre à une question simple : dans quelles circonstances le Conseil peut-il transférer mes fonds ? Quels sont mes recours ?

Situation des fonds volés

Le suivi on-chain indépendant (visualisation complète via MetaSleuth [5]) montre que l’attaquant a dispersé 116 500 rsETH dans 7 adresses principales, dont la majorité a été déposée en garantie sur Aave (Ethereum et Arbitrum) pour emprunter WETH et wstETH. Les tokens empruntés ont été échangés en petites quantités sur DEX, puis consolidés dans une seule adresse (0x5d39…7ccc) sur Ethereum et Arbitrum. Au 22 avril 2026 05:42 UTC, les fonds volés se répartissent ainsi :

Tableau 3 : Répartition des fonds volés en quatre états (au 22 avril 2026 05:42 UTC)

Environ 31 % ont été gelés ou interceptés, 23 % restent dans une adresse Ethereum inactive, et 46 % ont été dispersés ou sont en cours de dispersion vers 103 adresses secondaires. L’attaquant n’a pas encore récupéré ses positions en rsETH sur Aave, ni remboursé WETH et wstETH empruntés. Les positions de prêt ont été abandonnées.

La chaîne causale de l’incident KelpDAO traverse trois niveaux de la stack “décentralisée”.

Le point de départ est la dépendance à un point unique. La configuration DVN 1/1 de KelpDAO réduit la validation cross-chain à une seule entité, ce qui permet à l’attaque de passer par une seule infrastructure compromise. La conception supporte la décentralisation, mais la configuration ne le fait pas.

Ensuite, la composabilité a transformé une faille de pont en crise systémique. Une attaque a gelé le WETH, actif fondamental de la DeFi, sur cinq chaînes, affectant des milliards de dollars de liquidités, et impliquant des utilisateurs sans lien avec rsETH ou KelpDAO. La portée de la cascade est façonnée par des paramètres quantifiables : des LTV agressives, des pools peu profonds, et une large déploiement cross-chain de collatéraux.

L’ampleur de la crise a finalement forcé la gouvernance décentralisée à exercer un pouvoir centralisé d’urgence. Le Conseil d’Arbitrum a effectué une mise à niveau atomique, transférant 30 766 ETH sans signature, et Aave a gelé des marchés. Ces réponses sont efficaces, transparentes, et nécessaires, mais elles illustrent aussi la limite “permissionless” de l’écosystème.

La dépendance à un point unique a permis l’attaque, la composabilité a amplifié la portée, et la centralisation implicite dans la gouvernance et les contrats upgradables a révélé un pouvoir centralisé intégré. La réponse à ces enjeux doit impliquer tous les acteurs :

• Pour les protocoles : la sécurité globale dépend du maillon le plus faible, ici l’infrastructure DVN, pas le code. La sécurité doit couvrir plusieurs dimensions : code, infrastructure, gestion des clés, opérations. Des évaluations et tests de pénétration complets doivent couvrir toute la stack. La surveillance on-chain doit permettre une réaction rapide, et la traçabilité des fonds est essentielle pour coordonner gel et récupération. En particulier, pour les protocoles de prêt, il faut tester la résilience face à une défaillance totale du collatéral, en tenant compte des paramètres clés (LTV, profondeur, déploiement cross-chain).

• Pour la gouvernance L2 : les pouvoirs d’urgence doivent être transparents et responsables. La majorité des L2 majeurs disposent de ces capacités, mais souvent dans la documentation technique, pas dans la communication grand public. La gouvernance doit définir clairement les conditions, limites, délais, et responsabilités.

• Pour les utilisateurs : comprendre que la décentralisation ne supprime pas tous les risques systémiques. Lorsqu’un actif est déposé, il faut considérer l’ensemble de l’écosystème : protocoles, pools, types de collatéraux, chaînes. La sécurité est une propriété collective, et la confiance dans la décentralisation doit être nuancée par la compréhension des risques.

Ce résumé met en lumière la complexité de la crise, ses causes profondes, et la nécessité d’une gouvernance transparente et responsable pour préserver la sécurité et la confiance dans l’écosystème.