Actualités Crypto

Les hackers nord-coréens dérobent 290 millions de dollars à Kelp DAO

By Telemac

Share

290 millions de dollars dérobés : les hackers nord-coréens frappent une fois de plus le monde des cryptomonnaies

Le week-end dernier, Kelp DAO, un protocole de restaking liquide opérant sur la blockchain Ethereum, a ete victime d’une cyberattaque d’une ampleur sans précédent dans le secteur de la finance décentralisée. Ce sont près de 290 millions de dollars en cryptomonnaie qui ont été drainés en quelques minutes, faisant de cette intrusion la plus importante de l’année 2026 à ce jour. L’attaque a été attribuée avec une quasi-certitude au groupe TraderTraitor, une cellule du tristement célèbre Lazarus Group, soupçonnée de travailler pour le compte du régime de Pyongyang en Corée du Nord. Cette nouvelle incursion dans l’écosystème crypto survient alors même que le piratage du protocole Drift, début avril, avait déjà permis le vol de 285 millions de dollars sur la blockchain Solana, portant le total détourné par les acteurs nord-coréens à plus de 575 millions de dollars en moins de trois semaines.

Contexte

Depuis le milieu des années 2010, les hackers affiliés à la Corée du Nord ont progressivement transformé le vol de cryptomonnaies en véritable industrie d’État. Ces opérations ne sont plus l’affaire de quelques individus isolés motivés par le profit personnel : il s’agit désormais d’une activité structurée, financée par le régime de Kim Jong Un, dont les revenus servent à la fois à alimenter les programmes d’armement du pays et à contourner les sanctions économiques internationales. Selon les estimations de plusieurs firmes de sécurité blockchain, dont Elliptic et Chainalysis, les pirates nord-coréens ont réussi à détourner plus de 2 milliards de dollars uniquement en 2025. Sur l’ensemble de leur activité depuis 2017, le total cumulé s’élève à environ 6 milliards de dollars — une somme considérable qui dépasse le produit intérieur brut de nombreux pays.

Le groupe TraderTraitor, identifié pour la première fois par les services de renseignement américains en 2021, constitue l’une des divisions les plus actives de cet écosystème cybercriminel. Initialement spécialisé dans les campagnes de hameçonnage ciblé et l’ingénierie sociale — usurpation d’identités de développeurs, création de faux projets de cryptomonnaies — le groupe a considérablement fait évoluer ses méthodes. Ces derniers mois, TraderTraitor démontre une capacité croissante à identifier et à exploiter les vulnérabilités techniques des protocoles DeFi, passant de l’arnaque à la véritable intrusion systémique.

L’attaque contre Kelp DAO illustre parfaitement cette évolution. Plutôt que de s’en prendre directement aux contrats intelligents d’un protocole unique, les assaillants ont visé le point de jonction entre deux infrastructures — en l’occurrence le système de messagerie inter-chaînes de LayerZero et la configuration de validation de Kelp DAO. Cette approche leur a permis de contourner les mécanismes de sécurité qui auraient autrement bloqué une tentative d’extraction directe sur un contrat isolé.

Les faits

Les événements se sont déroulés le samedi 19 avril 2026. À 17h35 UTC, soit en début de soirée sur le continent européen, un attaquant a réussi à extraire 116 500 rsETH des réserves du pont LayerZero exploité par Kelp DAO. Au cours de l’époque, cette quantité de tokens de restaking Ethereum représentait une valeur d’environ 292 millions de dollars. Plus frappant encore, ce montant correspond à près de 18 % de l’offre totale en circulation du rsETH, estimée à 630 000 tokens selon les données de CoinGecko. Il s’agit donc d’un retrait représentant près d’un cinquième de l’ensemble des tokens existants — une proportion qui rend la Reserve de sécurisation du protocole immédiatement déficitaire.

Le mécanisme technique de l’attaque mérite une explication détaillée. Kelp DAO est un protocole de restaking liquide, ce qui signifie qu’il permet aux détenteurs d’ETH de déposer leurs tokens sur le protocole EigenLayer afin de bénéficier de rendements supplémentaires par rapport au staking Ethereum classique. En contrepartie, Kelp DAO émet le token rsETH, qui représente la position de dépôt et peut être utilisé dans d’autres applications DeFi. Le problème survient avec le pont inter-chaînes : le rsETH de Kelp DAO était déployé sur plus de vingt réseaux blockchain différents — Base, Arbitrum, Linea, Blast, Mantle, Scroll et d’autres — en utilisant le standard OFT (Omnichain Fungible Token) de LayerZero. Ce standard permet à un token de circuler sur plusieurs blockchains tout en conservant une offrant totale constante.

Les attaquants ont exploité cette architecture en manipulant le système de messagerie de LayerZero. En envoyant un message falsifié indiquant qu’une instruction valide provenait d’un autre réseau blockchain, ils ont trompé le pont de Kelp DAO, qui a transfere les les 116 500 rsETH vers une adresse contrôlée par les pirates. La vulnérabilité clé résidait dans la configuration du vérificateur de Kelp DAO, qualifiée de « 1-of-1 verifier » : une seule signature suffit à valider une transaction inter-chaînes, là où une configuration plus stricte aurait exigé plusieurs validations indépendantes.

La riposte de Kelp DAO a été relativement rapide. Quarante-six minutes après le vol initial, à 18h21 UTC, le multisig de pause d’urgence du protocole a réussi à mettre à l’abri les contrats principaux. Deux tentatives ultérieures, survenues à 18h26 UTC et 18h28 UTC, ont toutes deux échoué : chacune d’entre elles tentait de drainer 40 000 rsETH supplémentaires, soit environ 100 millions de dollars au cours actuel. Au total, ce sont donc près de 95 millions de dollars qui ont été sauvés in extremis grâce à cette intervention. Le protocole a immédiatement suspendu ses activités et lancé une investigation en collaboration avec LayerZero, Unichain, ainsi que plusieurs cabinets d’audit en sécurité blockchain.

La controverse entre Kelp DAO et LayerZero ajoute une dimension supplémentaire à cette affaire. LayerZero a publiquement attribué la responsabilité de la faille à la configuration par défaut de Kelp DAO, arguant que le protocole applicatif était responsable de ses propres choix de sécurité. De son côté, Kelp DAO a démenti et rejeté la faute sur l’infrastructure de LayerZero, créant un débat technique houleux sur la question de savoir où exactement la chaîne de validation a été compromise. Cette dispute soulève des questions fondamentales sur la répartition des responsabilités dans l’écosystème des ponts inter-chaînes, un sujet qui était déjà au cœur des préoccupations de la communauté DeFi après des hacks similaires survenus ces dernières années.

Analyse

Le piratage de Kelp DAO représente un tournant dans la méthodologie du groupe TraderTraitor. Les analystes en cybersécurité observent depuis plusieurs mois une évolution significative dans les tactiques employées par les hackers nord-coréens. Là où les premières campagnes visaient principalement à tromper des individus par le biais de techniques d’ingénierie sociale — offres d’emplois frauduleuses, faux airdrops, sites de trading bidon — le groupe démontre désormais une capacité à mener des opérations de plus en plus techniques et automatisées.

L’exploitation d’une configuration de type « 1-of-1 verifier » plutôt que d’une faille dans le code cryptographique lui-même est particulièrement révélatrice. Les assaillants n’ont pas eu à casser de algorithmes de chiffrement ni à compromettre des clés privées. Ils ont simplement identifié une faiblesse dans la configuration par défaut d’un protocole et l’ont exploitée avec une précision chirurgicale. Cette approche requiert une compréhension intime du fonctionnement des protocoles DeFi et de leurs interactions — un niveau d’expertise qui suggère strongly que le groupe TraderTraitor a non seulement des capacités techniques avancées, mais également accès à des ressources d’analyse et de recherche.

La cadence des attaques nord-coréennes en 2026 est particulièrement préoccupante. Avec plus de 575 millions de dollars volés en l’espace de moins de trois semaines — dont 285 millions chez Drift le 1er avril et 290 millions chez Kelp DAO le week-end dernier — le total annuel devrait vraisemblablement dépasser les records de 2025. Cette acceleration s’explique en partie par les besoins financiers croissants du régime de Pyongyang, soumis à un regime de sanctions internationales de plus en plus strict et à des difficultés économiques amplifiées par l’isolement diplomatique croissant du pays.

Au-delà de l’aspect financier immédiat, l’attaque de Kelp DAO met en lumière la fragilité systémique inhérente à l’architecture des protocoles DeFi cross-chain. Lorsqu’un token de restaking est déployé sur vingt chaînes différentes via un pont central, la sécurité de l’ensemble du système dépend du maillon le plus faible. Ici, la reserve qui garantissait la valeur des versions wrapped de rsETH sur les réseaux L2 a été partiellement drainée. Les détenteurs de ces tokens sur Arbitrum, Base ou autre doivent désormais se poser la question de savoir si leurs positions conservent une valeur de rédemption en ETH sur Ethereum — ou si elles sont devenues zombies, c’est-à-dire théoriquement sans valeur sous-jacente.

Réactions du marché

La riposte des acteurs du marché ne s’est pas fait attendre. Dans les heures suivant la révélation publique de l’incident, plusieurs protocoles DeFi majeurs ont pris des mesures préventives pour contenir un éventuel effet de contagion. Aave, l’un des plus grands protocoles de prêt décentralisés, a immédiatement gelé les marchés rsETH sur ses versions V3 et V4. Stani Kulechov, le fondateur du protocole, a tenu à préciser publiquement que les contrats propres d’Aave n’avaient pas été compromis et que l’exploitation provenait d’un facteur externe.Malgré cette clarification, le token AAVE a tout de même reculé d’environ 10 % dans la journée, le marché intégrant une prime de risque liée à la dette passive potentielle et à la dégradation générale du sentiment sur le secteur DeFi.

SparkLend et Fluid ont emboîté le pas en gelant également leurs marchés rsETH. Lido Finance, le plus grand protocole de staking Ethereum, a suspendu les nouveaux dépôts dans son produit earnETH, qui expose ses utilisateurs au rsETH via des stratégies composées. Lido a néanmoins souligné que ses produits principaux — stETH et wstETH — n’étaient pas concernés par l’incident et que le protocole de staking cœur d’Ethereum ne présentait aucune faille. De son côté, Ethena, l’émetteur du stablecoin USDe, a temporairement interrompu ses ponts LayerZero OFT en provenance d’Ethereum mainnet par mesure de précaution. La société a déclaré n’avoir aucune exposition au rsETH et maintenir un ratio de collatéralisation supérieur à 101 % pour ses dépôts.

Les conséquences sur le prix du rsETH ont été immédiates et significatives. La pression vendeuse s’est accentuée à mesure que les détenteurs de tokens wrapés sur les différentes blockchains tentaient de sortir de leurs positions avant une potentielle generalization de la crise. Les équipes de Kelp DAO et les auditeurs extérieurs suivent désormais de très près les mouvements des wallets associés à l’attaquant, dans l’espoir de pouvoir tracer les fonds et, avec de la chance, d’en freezer une partie avant qu’ils ne soient blanchis via des mixers comme Tornado Cash.

Perspectives

À court terme, la priorité absolue est la récupération d’une partie des fonds volés. L’expérience montre que les chances de retrouver des cryptomonnaies volées diminuent exponentiellement avec le temps, particulièrement lorsque les attaquants ont accès à des outils de mixage sophistiqués comme Tornado Cash, déjà_massivement utilisé par les groupes nord-coréens par le passé. Les prochaine jours seront déterminants pour savoir si les équipes de sécurité peuvent agir à temps pour geler une partie des actifs.

Pour les investisseurs détenant du rsETH ou des positions sur des protocoles utilisant le restaking liquide, la prudence la plus stricte reste de mise. La situation met en évidence les risques multiples inhérents aux protocoles DeFi complexes : la sécurité d’un token déployé sur vingt chaînes via un pont inter-chaînes ne dépend pas seulement du protocole d’origine, mais aussi de chaque pont, de chaque déploiement et de chaque configuration de vérification. Une seule faille à un maillon de cette chaîne peut compromettre l’ensemble du système de manière irréversible.

Sur le plan réglementaire et géopolitique, cette nouvelle attaque majeur risque d’alimenter les critiques des autorités de régulation contre l’écosystème DeFi. Déjà ciblés par plusieurs rapports du Conseil de sécurité de l’ONU comme facilitant le blanchiment des produits de cybercrime étatique, les protocoles DeFi pourraient faire face à des pressions réglementaires accrues dans plusieurs juridictions. La communauté crypto dans son ensemble aura sans doute besoin de démontrer sa capacité à renforcer les standards de sécurité et de transparence pour éviter des mesures législatives plus restrictives qui pourraient avoir des conséquences sur l’ensemble de l’écosystème.

Sources

Telemac
Telemachttp://cryptoinfo.ch

Contenu [hide]

Lire la Suite

Articles