DeFi cette fois a vraiment reçu une sévère leçon avec un incident de piratage. Le mois dernier, la faille du pont inter-chaînes de Kelp DAO a entraîné le vol de près de 300 millions de dollars, ce qui n’est pas seulement un problème d’un seul protocole, mais une exposition concentrée de la vulnérabilité de l’ensemble de l’écosystème DeFi.

Les événements se sont déroulés très rapidement. Les hackers, en falsifiant un message inter-chaînes de LayerZero, ont réussi en peu de temps à frapper et transférer 116 500 rsETH, avec une perte estimée entre 292 et 294 millions de dollars. Fait intéressant, l’attaquant a préparé ses fonds via Tornado Cash, puis a attendu environ 10 heures avant d’agir, ce qui indique que cette attaque n’était pas impulsive mais soigneusement planifiée.

Mais ce qui est vraiment effrayant, c’est la réaction en chaîne. Le rsETH volé a rapidement été utilisé comme garantie pour être déposé sur des plateformes de prêt majeures telles qu’Aave, SparkLend, Fluid, etc., permettant aux hackers d’emprunter une grande quantité d’ETH. Lorsque ces actifs ont été marqués comme endommagés, tout le marché de l’emprunt a plongé instantanément dans la crise. Aave a dû geler d’urgence les marchés concernés, mais le risque de créances douteuses est déjà apparu.

C’est ce qu’on appelle le risque de construction en blocs dans la DeFi. Un protocole victime d’un piratage, et immédiatement cela affecte une dizaine de plateformes. Bien que Kelp DAO ait lancé un mécanisme d’urgence en 46 minutes pour suspendre plusieurs contrats sur différentes chaînes, les dégâts étaient déjà faits. Actuellement, les hackers ont converti environ 250 millions de dollars de fonds volés en ETH, rendant la traçabilité des flux encore plus difficile.

Sur le plan technique, cette faille provient du pont inter-chaînes OFT de LayerZero et de la couche de messagerie, et non du contrat de staking principal de Kelp DAO. Mais cela ne signifie pas que les garanties en ETH sur le réseau principal sont totalement sécurisées, car la liquidité inter-chaînes a été gravement affectée, et les wrapped ETH sur plusieurs chaînes se trouvent en crise de liquidité.

Ce qui est le plus à surveiller, c’est que l’incident s’est produit pendant les vacances, ce qui a clairement ralenti la réaction de nombreuses plateformes. Avec le retrait massif de staking et la conversion d’actifs, d’autres plateformes de prêt pourraient être contraintes de suspendre les retraits. Si vous avez des fonds en staking sur une plateforme DeFi, il serait peut-être temps de considérer leur transfert vers un portefeuille en gestion personnelle.

ZachXBT et PeckShield, ces organismes de recherche en sécurité, suivent en permanence l’évolution des hackers, l’enquête est toujours en cours. La solution finale de compensation et la répartition des responsabilités ne sont pas encore décidées, cette histoire est loin d’être terminée. La vitesse de développement de la DeFi dépasse largement la capacité de gestion des risques, et ces incidents de piratage en sont la preuve. Suivez les annonces officielles de Kelp DAO, les prochaines informations seront cruciales.