‍#rsETHAttackUpdate Mise à jour de l'attaque rsETH : 26 avril 2026 Le 18 avril 2026, vers 17h35 UTC, les attaquants ont exploité une vulnérabilité critique dans le pont inter-chaînes LayerZero V2 de Kelp DAO pour

#rsETHAttackUpdate
Mise à jour sur l'attaque rsETH : 26 avril 2026

Le 18 avril 2026, vers 17h35 UTC, des attaquants ont exploité une vulnérabilité critique dans le pont cross-chain LayerZero V2 de Kelp DAO pour rsETH. Cet incident constitue la plus grande exploitation DeFi de 2026 à ce jour, avec environ 116 500 rsETH non garantis créés et drainés—d'une valeur d'environ 292 à 293 millions de dollars au moment de l'attaque, représentant environ 18 % de l'offre en circulation de rsETH.

Comment l'attaque a fonctionné

L'exploitation visait le mécanisme de pont rsETH de Kelp, qui utilise un système de verrouillage et de frappe LayerZero. En fonctionnement normal, les fonds sont verrouillés sur la chaîne source et frappés sur la chaîne de destination, avec une vérification gérée par un réseau de vérificateurs décentralisés. La vulnérabilité résidait dans la route Unichain vers Ethereum, qui était configurée avec un seul nœud vérificateur plutôt qu'un quorum multi-signatures.

Les attaquants, attribués au groupe Lazarus de Corée du Nord et à son sous-groupe TraderTraitor, ont compromis deux nœuds RPC de LayerZero Labs. Ils ont injecté des données falsifiées simulant une combustion de rsETH sur Unichain tout en lançant simultanément des attaques DDoS sur des RPC externes pour forcer un basculement vers leur infrastructure compromise. Cette manipulation a trompé le seul vérificateur pour qu'il approuve un paquet LayerZero frauduleux, libérant des fonds sans qu'aucune transaction de combustion réelle ne se produise sur la chaîne source.

Il est important de noter qu'il ne s'agissait pas d'une faille dans un contrat intelligent, mais plutôt d'une attaque sur l'infrastructure hors chaîne impliquant un empoisonnement RPC. Le malware employé s'est auto-supprimé après l'exploitation. Une seconde tentative d'attaque visant environ 40 000 rsETH d'une valeur de 95 à 100 millions de dollars a été bloquée avec succès par le mécanisme de pause d'urgence de Kelp.

**Réponse immédiate et impact sur le marché**

Dans l'heure qui a suivi la détection, plusieurs protocoles ont mis en œuvre des mesures d'urgence. Kelp DAO a suspendu les contrats rsETH sur Ethereum et tous les réseaux Layer 2 tout en inscrivant en liste noire les adresses des attaquants. Aave V3 et V4 ont gelé les marchés rsETH et wrsETH, en mettant le ratio prêt/valeur à zéro, puis ont gelé WETH sur plusieurs chaînes avant de déverrouiller partiellement les marchés Ethereum le 21 avril. D'autres protocoles affectés, notamment SparkLend, Fluid, Upshift, Compound, Euler et Lido, ont également suspendu les marchés exposés à rsETH.

L'attaquant a déposé 89 567 rsETH d'une valeur d'environ $221 millions en tant que garantie sur Aave V3 sur Ethereum et Arbitrum, empruntant environ 82 650 WETH d'une valeur de 190,9 millions de dollars, plus 821 wstETH d'une valeur de 2,3 millions de dollars. Les facteurs de santé de ces positions oscillaient entre 1,01 et 1,03, indiquant un effet de levier extrême et une mise en garantie risquée. Des dépôts plus petits ont été effectués sur Compound V3 et Euler.

Le marché plus large a ressenti des secousses importantes. Environ $13 milliards de valeur totale verrouillée ont quitté les plateformes DeFi en deux jours. Les taux d'utilisation du WETH ont atteint 100 % sur les chaînes clés, et rsETH s'est dépegé sur les réseaux Layer 2. Les pertes totales de piratage d'avril 2026 ont atteint environ $606 millions, faisant de ce mois l'un des plus coûteux de l'histoire de la DeFi.

**Statut actuel de la récupération**

Au 26 avril, plusieurs développements positifs ont émergé. Le Conseil de sécurité d'Arbitrum a réussi à geler 30 766 ETH d'une valeur d'environ $71 millions provenant d'une adresse d'attaquant le 21 avril. Ces fonds sont désormais détenus dans un portefeuille contrôlé par la gouvernance, avec une coordination en cours entre le conseil et les agences de la loi.

Les protocoles DeFi ont promis environ 43 500 ETH pour restaurer les réserves de rsETH. La DAO d'Aave a proposé de contribuer pour environ 25 000 ETH d'une valeur d'environ $58 millions via un fonds DeFi United, qui totalise maintenant environ $161 millions. Kelp et LayerZero coordonnent les efforts de récupération, avec le module Umbrella d'Aave détenant environ $54 millions en aWETH, considéré comme un mécanisme de compensation potentiel.

Le rapport d'incident du 20 avril d'Aave a présenté deux scénarios principaux pour gérer d'éventuelles dettes douteuses. Le premier implique une socialisation des pertes uniformes sur toute l'offre rsETH, entraînant un dépeg de 15,12 % et environ $124 millions de dettes douteuses totales. Le second scénario concerne des décotes de 73,54 % uniquement sur les holdings rsETH en L2, ce qui créerait environ $230 millions de dettes douteuses avec des impacts sévères sur des chaînes comme Mantle, confrontées à un déficit de 71 %.

LayerZero a désapprouvé la configuration vulnérable 1-of-1 DVN et a remplacé l'infrastructure RPC compromise. Ils ont confirmé qu'aucune autre application n'a été affectée par cette vulnérabilité spécifique.

**Principaux enseignements**

L'exploitation rsETH met en évidence des risques critiques dans les architectures de ponts cross-chain, en particulier celles qui dépendent de mécanismes de vérification à point de défaillance unique et d'infrastructures RPC centralisées. L'attaque démontre comment des composants hors chaîne peuvent être compromis même lorsque les contrats intelligents eux-mêmes sont sécurisés.

Le rsETH du réseau principal Ethereum reste entièrement garanti par les dépôts de staking de Kelp. Le problème central réside dans l'adaptateur de pont Layer 2, où 40 373 rsETH garantissent 152 577 revendications, créant un déficit d'environ 112 000 rsETH.

Une récupération complète du million initial $292 reste peu probable à court terme. Chainalysis et Certik suivent en permanence les flux de fonds. La trésorerie d'Aave d'environ $181 millions, plus les revenus en cours, offrent une marge de manœuvre contre les pertes réalisées. Les propositions de gouvernance de Kelp et d'Aave restent actives alors que la communauté débat des mécanismes d'allocation des pertes.

À l'avenir, l'industrie doit faire face à la pression pour mettre en œuvre des quorum multi-DVN, des systèmes de surveillance d'invariance et des audits complets de l'infrastructure hors chaîne. Bien que la valeur totale verrouillée en restaking ait été secouée, le staking sur le réseau principal Ethereum reste intact. Tous les acteurs doivent surveiller les forums de gouvernance d'Aave et de Kelp ainsi que les rapports d'après-mort de LayerZero pour suivre l'évolution des développements.