#rsETH攻击事件后续进展 L'attaque du pont cross-chain rsETH de Kelp DAO est la plus grande incident de sécurité DeFi depuis 2026, entraînant une perte d'environ $BTC 2,92 milliards de dollars d'actifs.

L'attaque a eu lieu vers 17h35 UTC le 18 avril 2026, lorsque le hacker a exploité une vulnérabilité de configuration du pont cross-chain basé sur LayerZero de Kelp DAO (utilisant une configuration de nœuds de validation décentralisés 1/1), en falsifiant des messages cross-chain, et a créé de toute pièce environ 116 500 rsETH sans actifs réels en garantie sur le réseau principal Ethereum.

Ces “actifs d’air” ont été rapidement déposés dans des protocoles de prêt majeurs tels qu’Aave, Compound, Euler, en tant que collatéral, permettant d’emprunter environ 236 millions de dollars en WETH/ETH réels, Aave étant exposé à un risque de créance douteuse pouvant atteindre 177 à 196 millions de dollars.

Kelp DAO a suspendu en urgence le contrat rsETH sur le réseau principal et plusieurs Layer2 environ 46 minutes après l’incident, empêchant toute tentative d’attaque supplémentaire. Mais la panique s’est rapidement propagée : la TVL d’Aave a chuté de 264 milliards à 180 milliards de dollars en 24 heures, soit une baisse de 32 %, et le prix du jeton AAVE a également reculé d’environ 18 %.

Cet incident a mis en lumière le risque systémique dans l’écosystème DeFi : la vulnérabilité d’un maillon peut se transmettre via la composabilité à plusieurs protocoles, provoquant une réaction en chaîne. Bien que LayerZero recommande une configuration de validation décentralisée au moins 2/3, Kelp DAO a opté pour un mode de validation à point unique 1/1, considéré comme extrêmement risqué, critiqué comme “protéger une banque avec un cadenas”.

Actuellement, Kelp DAO et LayerZero sont en litige concernant la responsabilité, tandis que le hacker détient toujours sur la blockchain Ethereum des ETH d’une valeur d’environ 175 millions de dollars.