Le hack Kelp DAO déclenche une crise systémique dans la DeFi avec 292 millions de dollars drainés

Un attaquant a exploité une vulnérabilité critique dans le mécanisme de pont cross-chain de Kelp DAO pour détourner l’équivalent de 292 millions de dollars en rsETH le samedi 18 avril 2026. Cette opération, qui constitue désormais le plus important exploit DeFi de l’année 2026, a mis en lumière les failles structurelles des infrastructures de pont entre blockchains et provoqué une fuite massive des déposants depuis les protocoles de prêt décentralisés. En l’espace de quelques jours, plus de 15 milliards de dollars ont été retirés d’Aave, le plus grand protocole de prêt décentralisé au monde, tandis qu’une coalition sans précédent de sept protocoles s’est organisée pour contenir les dégâts.

Contexte

Kelp DAO est un protocole de restaking liquide qui permet aux détenteurs d’ETH de déposer leurs tokens dans le système EigenLayer afin de générer un rendement supplémentaire au-delà des récompenses classiques du staking Ethereum. En contrepartie de leurs dépôts, les utilisateurs reçoivent des tokens rsETH, des reçus numériques échangeables qui maintiennent une exposition à l’ETH tout en accumulant un revenu passif via les tâches de validation déléguées aux opérateurs de nœuds.

Pour assurer la portabilité du rsETH entre les différents réseaux blockchain, Kelp DAO a développé un système de pont cross-chain basé sur l’infrastructure de LayerZero, une couche de messagerie inter-blockchain largement adoptée dans l’écosystème DeFi. Ce mécanisme fonctionne en verrouillant les tokens sur une chaîne d’origine tout en émettant des copies correspondantes sur la chaîne de destination, permettant ainsi aux utilisateurs de bénéficier de la liquidité du rsETH sur plusieurs réseaux simultanément.

Cette architecture, bien que commode pour les utilisateurs, crée un point de défaillance unique: si le mécanisme de validation des transferts est compromis, des tokens non backed peuvent être générés et introduits dans l’écosystème sans qu’aucun actif réel ne soutienne leur valeur. C’est précisément ce scénario qui s’est produit le 18 avril, avec des conséquences qui se sont propagées bien au-delà du simple périmètre de Kelp DAO.

Les faits

Selon les données horodatées disponibles, l’attaque a été exécutée à 17h35 UTC le samedi 18 avril 2026. L’assaillant a réussi à manipuler le système de messagerie cross-chain de LayerZero en lui transmettant une instruction de transfert falsifiée, qui donnait l’impression qu’un transfert légitime de tokens avait été effectué depuis une autre blockchain. Cette fausse instruction a déclenché la libération de 116 500 rsETH, d’une valeur approximative de 292 millions de dollars aux cours du marché au moment des faits.

Ce montant représente près de 18 % de l’offre circulante totale du rsETH, qui s’élève à 630 000 tokens selon les données suivies par CoinGecko. Le pont de Kelp DAO garantissant le rsETH couvrait plus de vingt réseaux blockchain différents, principalement des solutions de couche 2 construites sur Ethereum. En conséquence de l’exploit, le collatéral sous-jacent au rsETH sur ces réseaux secondaires est désormais considéré comme douteux, les réserves ayant été drainées de manière frauduleuse sur la chaîne principale.

La mécanique précise de l’attaque repose sur un défaut dans la configuration du dispositif de validation cross-chain de Kelp DAO, où un seul signataire suffisait pour approuver les transferts. L’attaquant a exploité cette faiblesse pour obtenir la libération des tokens sans dépôt réel. Selon l’analyse technique publiée par DeFiPrime, cette configuration permettait à un attaquant de forger une preuve de transfert validée par le seul signataire autorisé, sans que les actifs réels ne soient effectivement déplacés.

Les fonds volés n’ont pas resté inactifs. L’attaquant a déposé 89 567 rsETH sur le protocole de prêt Aave comme collatéral, puis a emprunté environ 190 millions de dollars en ETH et en tokens apparentés sur les instances Aave V3 d’Ethereum et d’Arbitrum. Cette manœuvre a créé un problème de dette irrécouvrable sur Aave: les rsETH déposés comme garantie n’étaient plus backing par aucun actif réel, ce qui laissait le protocole exposé à une perte sèche si ces positions étaient liquidées.

La sophistication de l’opération et les indices techniques relevés par les firmes de cybersécurité Cyvers et PeckShield pointent vers le groupe Lazarus, une entité criminelle affiliée au gouvernement nord-coréen. Ce groupe avait déjà réalisé le plus gros hack de l’histoire crypto en février 2025, en détournant 1,4 milliard de dollars depuis la plateforme d’échange Bybit. Au début du mois d’avril 2026, le même groupe aurait également exploité le protocole Drift sur Solana pour un montant de 295 millions de dollars.

Analyse

Le rapport d’incident publié conjointement par Aave Labs et le prestataire de services LlamaRisk sur le forum de gouvernance d’Aave offre un éclairage détaillé sur la nature de l’exposition du protocole au hack. Selon ce rapport, les systèmes d’Aave ont fonctionné exactement conformément à leur conception lors de l’incident: le protocole a correctement traité les dépôts de rsETH comme collatéral valide et a accordé les emprunts selon les paramètres de risque en vigueur. La faille ne résidait pas dans le code d’Aave mais dans la qualité du collatéral qui lui avait été fourni en amont par l’intermédiaire du hack de Kelp DAO.

Le rapport documente deux scénarios potentiels de pertes pour Aave. Dans le scénario optimiste, si le déficit de collatéral est réparti entre tous les détenteurs de rsETH à travers l’ensemble des marchés, la perte supportée par Aave se situerait aux alentours de 123 millions de dollars. Dans le scénario pessimiste, si le déficit reste confiné aux positions hébergées sur les solutions de couche 2, la perte pourrait atteindre 230 millions de dollars, en fonction des choix de Kelp DAO concernant l’allocation du manque de collatéral et des mécanismes de résolution adoptés par la gouvernance du protocole.

Cette affaire illustre de manière particulièrement visible la fragilité systémique inhérente à l’architecture interconnectée de la finance décentralisée. Les utilisateurs qui n’avaient jamais interagi directement avec Kelp DAO se sont trouvés affectés par la crise parce qu’ils détenaient du rsETH comme garantie sur Aave ou sur d’autres plateformes de prêt. Le risque de contagion traverse les couches de l’écosystème sans que les utilisateurs finaux aient pleinement conscience de leur exposition à des protocoles tiers.

Au-delà d’Aave, plusieurs autres protocoles ont été contraints de réagir en urgence. Compound a lancé quatre propositions de gouvernance successives pour ajuster les paramètres de risque sur les marchés affectés et permettre la reprise progressive des activités suspendues. Fluid a suspendu l’ensemble de ses marchés présentant une exposition au rsETH, tout en déclarant n’avoir aucune exposition matérielle aux positions L2 infectées, aucune nouvelle opération d’emprunt contre du rsETH n’ayant été initiée après la révélation de l’exploit.

Réactions du marché

Dans les heures ayant suivi la révélation publique de l’exploit, les déposants de la DeFi ont adopté un comportement de fuite vers la sortie. Selon les données compilées par AMBCrypto, Aave a enregistré des retraits dépassant les 15 milliards de dollars, entrainant une chute de 37 % de ses dépôts totaux, qui sont passés de 46 milliards de dollars à 28,6 milliards de dollars en quelques jours seulement. Cette hémorragie de capitaux constitue le plus important mouvement de sortie de l’histoire du protocole, surpassant largement les épisodes de tension observés lors de précédentes crises sectorielles.

Le total value locked sur Aave, l’indicateur maître de la santé d’un protocole DeFi qui mesure l’ensemble des actifs déposés, a plongé de plus d’un tiers pour s’établir à 17,5 milliards de dollars. Les déposants ont retiré leurs fonds en masse par crainte de se retrouver exposés à des pertes directes si le collatéral contaminé par les rsETH volés finissait par générer des déficits sur les positions des prêteurs non impliqués dans l’exploit initial.

Sur les marchés secondaires, le prix du rsETH s’est effondré dès la révélation de l’incident, la parité avec l’ETH étant fortement mise sous pression alors que les investisseurs tentaient de céder leurs positions. Les protocoles de prêt automatisés ont déclenché des gels de positions sur le rsETH pour éviter qu’un cercle vicieux de liquidation en cascade ne s’enclenche, ce qui aurait aggravé les pertes pour l’ensemble des détenteurs restants.

Perspectives

Face à l’ampleur de la crise, sept protocoles DeFi majeurs ont sans précédent décider de coordonner leur réponse pour contenir les dégâts. Cette coalition, connue sous le nom de DeFi United, a réussi à rassembler environ 69 534 ETH, soit une valeur d’environ 161 millions de dollars aux cours du marché actuels. Les contributeurs incluent Aave, Lido, EtherFi, Mantle et plusieurs autres acteurs clés de l’écosystème. Aave a proposé de contribuer 25 000 ETH à cet effort collectif, démontrant l’engagement de l’écosystème à résoudre la crise avant qu’elle ne se propage davantage vers d’autres protocoles.

Cette coordination inter-protocoles représente une première dans l’histoire de la finance décentralisée. Habituellement en compétition pour les mêmes capitaux et les mêmes utilisateurs, les protocoles DeFi ont cette fois mis leurs rivalités de côté pour répondre à une menace systémique. Le fonds de relance vise à restaurer le backing du rsETH et à permettre aux détenteurs de récupérer une partie de leur mise, mais les détails de la répartition restent encore en cours de négociation au niveau de la gouvernance.

Andrew Moss, analyste de recherche auprès de la banque d’investissement américaine Jefferies, a déclaré que cet incident forcerait les acteurs institutionnels de Wall Street à mettre en pause leurs projets d’expansion dans le secteur de la tokenisation. Depuis 2024, le marché de la tokenisation d’actifs réels a crû de manière spectaculaire, passant de 5 milliards à 30 milliards de dollars, multipliant par six sa taille en deux ans. Cependant, les failles de sécurité récurrentes dans les protocoles DeFi sous-jacents pourraient ralentir cette dynamique en ravivant les réserves des acteurs traditionnels qui hésitent à confier des capitaux significatifs à des infrastructures encore considérées comme expérimentales.

À moyen terme, la question de la sécurité des ponts cross-chain devient urgente. Les statistiques compilées par DefiLlama révèlent que plus de 620 millions de dollars ont été volés lors d’incidents de sécurité crypto en seulement vingt jours au mois d’avril 2026, faisant de ce mois le pire pour la sécurité du secteur depuis le piratage de Bybit en février 2025. Les bridges, maillons essentiels de l’écosystème DeFi mais souvent sous-audités, restent le maillon faible le plus evident de la finance décentralisée. Sans une remise à plat des pratiques d’audit et de sécurité autour des infrastructures cross-chain, des incidents similaires pourraient se reproduire.

Sources

• 2026’s biggest crypto exploit: $292 million gets drained from Kelp DAO — CoinDesk
• Aave could face up to $230m in losses after Kelp DAO bridge exploit — CoinDesk
• Kelp DAO Bridge Exploit Drains $292 Million in rsETH — Yahoo Finance
• Crypto hack sparks $9 billion outflows from biggest DeFi lender — Bloomberg
• Aave outflows hit $15B as DeFi risks test Wall Street confidence — AMBCrypto
• DeFi United: Seven Protocols Coordinating DeFi’s Largest Bailout — Phemex Academy
• The KelpDAO rsETH Exploit: $292M Minted From a 1-of-1 Bridge — DeFiPrime

Les implications pour l’ensemble de l’écosystème DeFi dépassent largement le cas de Kelp DAO. Le concept de restaking, qui permet de réinvestir des ETH déjà stakés pour obtenir des rendements additionnels via EigenLayer, a connu une croissance exponentielle au cours des derniers mois. Cette expansion rapide a néanmoins créé une surface d’attaque considérable, car les protocoles de restaking dépendent entièrement de la sécurité des mécanismes de validation sous-jacents, en particulier les bridges cross-chain qui permettent la liquidité inter-réseaux.

La question de la gouvernance des protocoles DeFi face aux crises est également soulevée par cet incident. Les délais de réaction des différents protocoles, les processus devote des propositions d’urgence et la coordination entre concurrents historiques constituent autant de défis organisationnels qui n’avaient jamais été véritablement mis à l’épreuve à cette échelle. La rapidité avec laquelle DeFi United s’est constitué, avec 69 534 ETH en quelques jours, démontre nonetheless la capacité de l’écosystème à se mobiliser, mais révèle aussi l’absence de mécanismes formalisés de réponse aux crises systémiques.

Sur le plan réglementaire, cet exploit pourrait accélérer l’attention des autorités sur les protocoles de restaking et les bridges cross-chain. La Securities and Exchange Commission (SEC) et la Commodity Futures Trading Commission (CFTC) aux États-Unis, ainsi que l’European Securities and Markets Authority (ESMA) en Europe, suivent de près l’évolution de la DeFi depuis plusieurs années. Un incident de cette ampleur pourrait provoquer des réactions réglementaires disproportionnées, l’ensemble du secteur si les législateurs decides de répondre par des restrictions plutôt que par des cadres adaptés.