Actualités Crypto

Les ponts cross-chain déchaînés : 293 millions de dollars envolés lors du hack Kelp DAO

By Telemac

Share

Les ponts cross-chain déchaînés : 293 millions de dollars envolés lors du hack Kelp DAO

Le samedi 19 avril 2026, un pirate a drainé 116 500 rsETH — soit près de 293 millions de dollars au cours du moment — depuis le bridge cross-chain de Kelp DAO, protocole de liquid restaking bâti sur l’infrastructure de messagerie LayerZero. L’attaque, survenue à 17h35 UTC, représente le plus important exploit DeFi enregistré depuis le début de l’année 2026, surpassant les 285 millions de dollars dérobés au protocole Drift début avril sur Solana. L’incident a déclenché une vague de gels d’urgence sur Aave, SparkLend, Fluid et Upshift, et soulève des questions fondamentales sur la sécurité des ponts cross-chain qui connectent plus d’une vingtaine de réseaux blockchain.

Contexte

Kelp DAO est un protocole de liquid restaking opérant sous l’ombrelle KernelDAO. Il permet aux détenteurs d’ETH de déposer leurs fonds via EigenLayer afin de générer un rendement supplémentaire au-delà des récompenses de staking Ethereum standard, et délivre en contrepartie le token rsETH — une version tradeable des ETH mis en staking. Ce token rsETH est déployé sur plus de vingt réseaux, dont Base, Arbitrum, Linea, Blast, Mantle et Scroll, grâce au standard OFT (Omnichain Fungible Token) de LayerZero.

Ces déploiements multi-chaînes impliquent que le bridge de Kelp DAO détenait des réserves de rsETH servant de garantie pour les versions wrappées du token sur chaque layer 2. Une architecture puissante pour l’interopérabilité, mais qui concentre aussi un risque considérable : lorsque le bridge est compromis, c’est la réserve backing l’intégralité du token cross-chain qui se retrouve menacée.

Le mois d’avril 2026 avait déjà été marqué par une série d’attaques d’une ampleur inédi.te. Le protocole Drift Protocol, basé sur Solana, avait perdu environ 285 millions de dollars le 1er avril dans une attaque ensuite liée à des acteurs affiliés à la Corée du Nord. Au moins une douzaine de protocoles avaient ensuite été exploités dans les semaines suivantes, incluant CoW Swap, Zerion, Rhea Finance et Silo Finance. Selon les estimations du secteur, les hacks DeFi ont dépassé les 600 millions de dollars uniquement au mois d’avril 2026 — une sorte de  » taxe de sécurité  » que le marché semble intégrer dans ses modèles de risque.

Le liquid restaking, dont Kelp DAO est l’un des représentants, a connu une croissance explosive en 2025 et 2026. En déposant des ETH via EigenLayer, les utilisateurs permettent à ces fonds de servir à la sécurité de l’écosystème Ethereum tout en percevant des récompenses de staking ETH standard plus un bonus de restaking. En échange, ils reçoivent du rsETH qu’ils peuvent utiliser dans d’autres protocoles DeFi pour générer des revenus supplémentaires. Ce mécanisme ingénieux crée une chaîne de dépendance où la sécurité de chaque maillon dépend de la solidité de tous les autres.

Les faits

L’attaquant a exploité le système de messagerie cross-chain de LayerZero pour tromper le bridge de Kelp DAO en lui faisant croire qu’une instruction valide était arrivée depuis un autre réseau blockchain. Ce faux message a déclenché la libération de 116 500 rsETH — environ 18 % de l’offre circulante du token, qui s’élève à 630 000 tokens selon les données de CoinGecko — vers une adresse contrôlée par le pirate.

Selon l’analyse technique de Chainalysis, deux nœuds RPC hébergés par LayerZero ont été compromis, tandis qu’un troisième nœud a été désactivé simultanément par une attaque par déni de service distribuée (DDoS). Cette combinaison a permis à l’attaquant de satisfaire le quorum de validation du bridge sans déclencher les alertes habituelles. Les experts de Cyvers ont détaillé le mécanisme d’exploitation : l’attaquant a pu créer des rsETH non garantis et les utiliser pour emprunter des actifs réels comme de l’ETH,  » exactement le genre de dynamique qui fait détoner ce type d’exploitation si rapidement « , ont-ils expliqué. L’incident s’est immédiatement transformé en événement de contagion cross-protocole, et non plus en simple exploit d’un seul protocole.

Le conseiller de multisig d’urgence de Kelp a gelé les contrats principaux 46 minutes après le drain initial, à 18h21 UTC. Deux tentatives de drainages ultérieures, à 18h26 et 18h28 UTC, ont toutes deux échoué — chacune tentant de déplacer 40 000 rsETH supplémentaires, soit environ 100 millions de dollars. Le Conseil de sécurité d’Arbitrum a par la suite gelé 30 766 ETH des fonds de l’attaquant sur la blockchain Arbitrum, démontrant qu’une gouvernance chain rapide et la coopération avec les autorités peuvent limiter les dégâts même lorsque la défense en temps réel a échoué.

Kelp DAO a publié son premier message officiel sur X à 20h10 UTC, près de trois heures après le drain initial, stating que le protocole cooperait avec LayerZero, Unichain, ses auditeurs et des spécialistes externes en sécurité pour investiguer l’incident. Le protocole n’a pas encore détaillé publiquement comment l’exploitation a pu contourner la logique de validation du bridge.

LayerZero a officiellement attribué l’attaque au groupe Lazarus, affilié à la Corée du Nord, et a pointé du doigt la configuration single-validator utilisée par Kelp DAO. Kelp a toutefois contesté cette version, arguant que cette configuration était le paramétrage par défaut recommandé par LayerZero lui-même, et non une personnalisation hasardeuse opérée par le protocole. Ce jeu de blame entre protocole et fournisseur d’infrastructure cross-chain risque de se prolonger, d’autant que les fonds volés sont déjà en partie mixés via Tornado Cash — ce qui complique considérablement le travail des investigators.

Analyse

Selon Ari Redbord, responsable mondial de la politique et des affaires gouvernementales chez TRM Labs, l’incident ramène la sécurité des bridges au premier plan des préoccupations du secteur crypto.  » Les ponts cross-chain sont le maillon le plus faible de l’écosystème DeFi « , a-t-il déclaré dans une analyse relayée par DL News.  » Dans des termes simples, l’attaquant a envoyé un faux message qui disait au bridge que de l’argent était arrivé d’une autre blockchain. Quand les utilisateurs déplacent des tokens d’une chaîne à l’autre, le bridge bloque les tokens originaux et en crée des correspondants sur la nouvelle chaîne. Le bridge a été trompé en croyant qu’un faux message d’une autre blockchain était réel, donc il a libéré des tokens qu’il n’aurait jamais dû libérer. « 

Chainalysis abonde dans ce sens et recommande la mise en place d’une  » surveillance des invariants cross-chain  » : une vérification continue qui confirme mathématiquement que les tokens libéré sur la chaîne de destination correspondent aux tokens brûlés sur la chaîne source.  » L’exploitation de Kelp DAO est un exemple textbook de ce qui se passe quand l’infrastructure off-chain d’un protocole cross-chain — nœuds RPC, endpoints, ensembles de signataires — devient le maillon le plus fragile de la pile de sécurité « , écrivait l’entreprise dans son analyse.  » Quand la conception du quorum donne à un attaquant un seul nœud à compromettre plutôt qu’un ensemble significatif de nœuds, l’ensemble du modèle de sécurité s’effondre. Le moment précis où le contrat bridge côté Ethereum a libéré les rsETH, un système de surveillance qui aurait dû détecter l’événement de burn correspondant sur la chaîne source n’aurait rien vu. « 

La question de la responsabilité se pose désormais des deux côtés. LayerZero a publiquement attribué l’attaque à la configuration single-validator de Kelp. Kelp répond que cette configuration était le paramétrage par défaut livré par LayerZero, et que le vrai problème réside dans l’infrastructure même de LayerZero — notamment sa dépendance à un petit nombre de nœuds pour le quorum de validation. Cette dispute technique a des implications importantes : si les fournisseurs d’infrastructure cross-chain peuvent être.tenus pour responsables des failles de sécurité de leurs clients, l’ensemble du modèle de LayerZero — et par extension celui d’autres protocoles de messagerie cross-chain comme Hyperlane ou Wormhole — pourrait être remis en question.

Par ailleurs, l’attribution au groupe Lazarus de la Corée du Nord n’est pas anodine. Les acteurs étatiques nord-coréens sont connus pour leur expertise dans le domaine des cyberattaques financières. Leur implication suggère un niveau de sophistication élevé et potentiellement un lien avec des activités de financement du régime de Pyongyang. Cette dimension géopolitique ajoute une couche de complexité à la réponse de l’industrie, qui doit non seulement combler les failles techniques mais aussi se prémunir contre des adversaires disposant de ressources quasi-étatiques.

Réactions du marché

Le token AAVE a chuté d’environ 10 % dans les heures suivant la révélation de l’exploit, le marché intégrant le risque de dette irrécouvrable. Aave était le protocole le plus exposé : le marché rsETH sur les versions V3 et V4 a été gelé dans les heures suivant l’attaque. Le fondateur Stani Kulechov a toutefois confirmé que les contrats Aave eux-mêmes n’avaient pas été compromis et que l’exploitation provenait d’un facteur externe.

SparkLend et Fluid ont également gelé leurs marchés rsETH par mesure de précaution. Lido Finance a suspendu les dépôts sur son produit earnETH, qui expose ses utilisateurs au rsETH, tout en clarifiant que stETH et wstETH — les tokens de staking de Lido eux-mêmes — n’étaient aucunement affectés et que le protocole de staking core de Lido n’était pas impliqué dans l’incident.

Ethena, l’émetteur du stablecoin USDe, a temporairement suspendu ses bridges OFT depuis Ethereum mainnet pendant environ six heures, par mesure de précaution supplémentaire. La plateforme a souligné qu’elle ne détenait aucune exposition au rsETH et restait surcollatéralisée à plus de 101 %.

Bybit, en tant que plus grand détenteur et supporter de Mantle, a annoncé qu’il soutiendrait la proposition de Mantle de contribuer une facility de prêt au plan de secours coordonné d’Aave. Les actifs ont été successfully transférés vers un wallet gelé intermédiaire, les rendant inaccessibles à l’adresse liée à l’exploit KelpDAO, et ne pouvant être déplacés que par des actions gouvernées par la gouvernance Arbitrum en coordination avec les parties prenantes pertinentes.

Le dimanche 26 avril, Aave a annoncé avoir mobilisé près de 80 % des 200 millions de dollars nécessaires pour couvrir la dette bad debt laissée par l’exploit Kelp DAO. Cette nouvelle suggère que le protocole a partiellement réussi à contenir les retombées financières de l’incident, même si la facture finale reste à établir.

Perspectives

La question centrale pour les détenteurs de rsETH déployés sur les réseaux non-Ethereum est désormais simple et brutale : leurs tokens sont-ils encore backed par quoi que ce soit ? Avec la réserve du bridge drainée, les wrapped rsETH sur les layer 2 se retrouvent avec une garantie sous-jacente partiellement vidée. Cela crée une boucle de rétroaction où les rachats panic sur les L2 mettent sous pression l’offre Ethereum non affectée, potentiellement forçant Kelp à démanteler ses positions de restaking pour honorer les retraits.

Plusieurs scénarios se profilent à moyen terme. Dans le meilleur des cas, une partie des fonds gelés par le Conseil de sécurité d’Arbitrum est restituée, et Kelp trouve un mécanisme de compensation pour les holders affectés avec l’aide de la communauté et des auditeurs. Le protocole a déjà démontré sa capacité à agir rapidement en congelant les contrats en moins d’une heure. Dans le pire des cas, le token rsETH perd complètement son peg, la confiance dans les liquid restaking tokens s’effondre, causant un effet de contagion sur l’ensemble du secteur EigenLayer et au-delà.

Pour les investisseurs, cet exploit rappelle l’importance de comprendre l’architecture de custody croisée quand on déploie des capitaux dans la DeFi. Les rendements élevés promis par le liquid restaking — souvent considérablement supérieurs au staking Ethereum standard — intègrent une prime de risque liée à la complexité des bridges cross-chain. Cette prime semble, à la lumière des événements d’avril 2026, encore sous-évaluée par le marché. La croissance exponentielle des protocoles de restaking liquid en 2025 et début 2026 n’a pas été accompagnée d’une maturation proportionnelle des standards de sécurité.

À plus long terme, l’incident Kelp DAO pourrait accélérer l’émergence de standards de sécurité pour les bridges cross-chain, à l’image de ce que le hack de Ronin en 2022 avait provoqué pour les bridges de gaming blockchain. La question de la responsabilité juridique entre protocoles et fournisseurs d’infrastructure — ici LayerZero — reste cependant entière et devra être tranchée, soit par la voie réglementaire, soit par des précédents jurisprudentiels. Le débat est d’autant plus urgent que le volume de fonds traversant les bridges cross-chain ne cesse de croître.

L’inaction n’est plus une option pour l’écosystème. Chaque attaque majeure érode la confiance des utilisateurs retail et institutionnels dans la DeFi, et les pertes de plusieurs centaines de millions de dollars en l’espace de quelques semaines commencent à peser sur la perception du secteur dans son ensemble. La  » taxe de sécurité  » dont parlent certains observateurs du marché n’est pas près de disparaître tant que l’infrastructure cross-chain restera le maillon faible de la chaîne.

Sources

Telemac
Telemachttp://cryptoinfo.ch

Contenu [hide]

Lire la Suite

Articles