Je viens de comprendre ce qui s’est passé avec Kelp DAO il y a une semaine, et honnêtement, c’est l’une des histoires DeFi les plus brutales de toute l’année 2026. En 46 minutes, 293 millions de dollars ont disparu de l’écosystème. Ce n’est pas une erreur de code, ni une vulnérabilité du contrat intelligent — c’est une erreur de configuration qui est devenue une crise systémique.

Voici ce qui s’est produit : un attaquant a utilisé le pont cross-chain Kelp sur LayerZero avec une configuration DVN 1 sur 1. En gros, toute la validation des messages entre les chaînes dépendait d’un seul nœud. En compromettant ou en trompant ce nœud, l’attaquant a envoyé un message falsifié, prétendant confirmer le verrouillage d’actifs. Le pont a émis 116 500 rsETH (environ 18 % de l’offre en circulation totale) vers l’adresse de l’attaquant — sans bloquer le ETH réel sur la chaîne d’origine. Les tokens ont littéralement été créés de toute pièce.

Ensuite, c’est devenu encore pire. Au lieu de liquider ces tokens sur le marché, l’attaquant a déposé du rsETH non garanti dans Aave V3 en tant que garantie, emprunté 236 millions de dollars en WETH réel, puis a répété le manège sur Aave V4. Au moment où Kelp DAO a gelé les contrats (18:21 UTC), les actifs réels étaient déjà en train de partir. Deux tentatives de siphonner encore 100 millions chacune ont été bloquées, mais le premier coup a déjà déclenché une cascade dans la DeFi.

Aave s’est retrouvée piégée. Lorsque Kelp a suspendu le rsETH, toutes les positions de prêt garanties par cet actif sont devenues impossibles à liquider. Aave s’est retrouvée avec 196 millions de dollars de dette irrécupérable. La piscine WETH a atteint 100 % d’utilisation — certains utilisateurs n’ont temporairement pas pu retirer leurs fonds. La panique s’est répandue instantanément : les retraits d’Aave ont atteint 5,4 milliards de dollars en quelques heures. La TVL a chuté de plus de 26 milliards à 22 milliards — une perte de 6,6 milliards en une journée. Le token AAVE a chuté de 20 % en 24 heures (se négocie actuellement autour de 95,54 $).

Le plus effrayant, c’est que ce n’était pas une erreur de LayerZero. C’était un choix de Kelp DAO d’utiliser une configuration centralisée, que le protocole autorise, mais qui crée un point unique de défaillance dangereux. Mikhail Egorov, fondateur de Curve Finance, a déclaré directement : quand vous faites confiance à une seule partie, tout est possible.

L’infection s’est propagée à au moins neuf plateformes : SparkLend, Fluid, Lido (a suspendu son produit EarnETH), Compound V3, Euler et d’autres. Même Ethena a temporairement suspendu ses ponts LayerZero par précaution, bien qu’il n’y ait pas eu d’impact direct.

L’argent ? Presque certainement perdu. L’attaquant a déjà blanchi ses fonds via Tornado Cash, en répartissant l’ETH sur plusieurs portefeuilles. Justin Sun de Tron a proposé de « parler » avec l’attaquant, mais cela ressemble à un théâtre — l’enquête est déjà froide.

Que signifie cela pour l’industrie ? rsETH était considéré comme un actif de confiance, corrélé à l’ETH. L’hypothèse implicite : que les tokens de staking liquides sont aussi sûrs que l’actif sous-jacent. Cette hypothèse s’est effondrée. Kelp DAO reste avec un actif qui ne peut pas être réellement vendu, et Aave avec un ETH emprunté au maximum que personne ne peut retirer.

Il est attendu que l’industrie réponde avec des exigences obligatoires pour plusieurs DVN pour les ponts et des standards plus stricts pour les protocoles de prêt. Mais en attendant, rsETH dans plus de 20 chaînes reste dans un état d’incertitude, jusqu’à ce que Kelp publie une vérification des réserves vérifiée.

Ce n’est pas le premier gros piratage cette année. En mars, Resolv Labs a perdu 80 millions, le 1er avril, Drift Protocol a perdu 285 millions (plus tard lié à des acteurs nord-coréens). CoW Swap, Zerion, Rhea Finance — tout en avril. Les pertes totales en DeFi en 2026 dépassent déjà 450 millions de dollars pour environ 45 protocoles. Le responsable sécurité de Ledger dit que « c’est probablement la pire année pour les piratages ».

La leçon principale pour les investisseurs : la composabilité de la DeFi coupe dans les deux sens. Ce qui rend l’écosystème puissant — l’interconnexion — en fait aussi le canal de contamination le plus rapide. Une vulnérabilité dans un seul protocole devient un événement systémique en quelques minutes. Si vous détenez du rsETH ou des positions dans des protocoles de prêt, surveillez attentivement les annonces officielles. Évitez les décisions paniquées avec des informations incomplètes, mais ne sous-estimez pas le risque de liquidité, même sur des plateformes « sûres ».

C’est un rappel brutal : en DeFi, la confiance n’est pas seulement une question de technologie, c’est une architecture. Et l’architecture de Kelp DAO s’est révélée vulnérable non pas à cause du code, mais à cause du choix de configuration.