#KelpDAOBridgeHacked KelpDAO rsETH Pont Fléchi Exploit : La Plus Grande Fuite DeFi de 2026

Le 18 avril 2026, KelpDAO, un protocole de restaking liquide de premier plan avec plus de 1,3 milliard de dollars en valeur totale verrouillée (TVL) avant l'incident, a subi une exploitation catastrophique ciblant son infrastructure de pont inter-chaînes. L'attaque a entraîné le vol d'environ 116 500 jetons rsETH, évalués à environ 292-294 millions de dollars au moment de la brèche, ce qui en fait la plus grande exploitation de finance décentralisée de 2026 à ce jour.

Le vecteur d'attaque

L'exploitation visait le pont rsETH de KelpDAO alimenté par le protocole de messagerie inter-chaînes LayerZero. Les attaquants ont identifié et exploité une vulnérabilité critique dans la fonction lzReceive de l'EndpointV2 de LayerZero. La méthodologie impliquait l'enregistrement d'un pair de testnet utilisant Unichain EID 30320 et l'exploitation d'une configuration d'approbation d'un Réseau de Vérificateurs Décentralisé (DVN) 1-sur-1. Cela a permis à l'attaquant de créer et transmettre un message inter-chaînes frauduleux qui a contourné les protocoles de validation standard, déclenchant la libération non autorisée de rsETH du coffre-fort sans actifs légitimes en garantie.

Les rsETH volés représentaient environ 18 % de l'offre totale en circulation du jeton, provoquant des préoccupations systémiques immédiates dans l'écosystème DeFi.

Contagion inter-protocoles et crise de créances douteuses

Plutôt que de conserver les actifs volés, l'attaquant a rapidement déployé le rsETH non garanti comme garantie sur plusieurs protocoles de prêt, créant un scénario de créances douteuses en cascade :

- Aave V3 (Ethereum): -52 834 WETH empruntés
- Aave V3 (Arbitrum): -29 782 WETH plus 821 wstETH empruntés
- Compound V3 et Euler : emprunts additionnels de 23 à 59 millions de dollars

La dette douteuse totale à travers les protocoles affectés a dépassé $200 million, car la garantie en rsETH est devenue pratiquement sans valeur après la mise en pause du protocole. Cet incident n’était pas simplement une exploitation de pont, mais un événement de contagion inter-protocoles qui a mis à l’épreuve la résilience de l’architecture interconnectée de DeFi.

Impact immédiat sur le marché

L'exploitation a déclenché des réactions de marché importantes et des réponses d'urgence au niveau des protocoles :

- La TVL d'Aave a chuté de plus de $7 milliard en raison de retraits massifs d'ETH, avec des taux d'utilisation atteignant 100 % sur les marchés affectés
- Baisse des jetons natifs : $AAVE environ 20 %, tandis que $ZRO (LayerZero) a chuté d'environ 30 %
- Gel d'urgence du marché mis en œuvre sur Aave V3, V4, SparkLend, Fluid, et Upshift pour la garantie rsETH
- Lido Earn a suspendu les dépôts earnETH en raison des préoccupations liées à l'exposition rsETH
- Plusieurs projets utilisant des ponts LayerZero ont lancé des pauses de précaution

Des risques secondaires ont émergé, notamment des échecs potentiels de liquidation ETH, des complications d'incitations d'emprunt USDT, et une exposition concentrée de créances douteuses sur le déploiement Aave d'Arbitrum, qui pourrait manquer de couverture complète par Umbrella.

Réponse d'urgence et situation actuelle

L'équipe de sécurité de KelpDAO a réagi en environ une heure après la détection, en mettant en pause l'ensemble du protocole à 18h21 UTC le 18 avril. Cette réponse rapide a permis de bloquer deux tentatives d'attaque ultérieures. L'équipe a publié des déclarations officielles confirmant leur ouverture à des négociations avec des white-hats et mène une analyse approfondie des causes racines en collaboration avec LayerZero, Unichain, et des auditeurs tiers.

La gouvernance d'Aave a lancé des discussions concernant le déploiement de trésorerie et d’éventuels prêts pour couvrir les déficits identifiés, avec des propositions incluant des augmentations du taux ETH slope2 pour gérer la pression sur le protocole. Selon l’analyse de Chaos Labs, environ $177 million de la dette douteuse a été réglée, bien que l’exposition sur Arbitrum reste non résolue.

Des enquêteurs blockchain, dont ZachXBT, ont suivi les fonds volés jusqu’à Tornado Cash, sans rapport de récupération réussie à ce jour. Les analystes projettent des décotes de 15 à 20 % pour les détenteurs de rsETH bridgés, KelpDAO envisageant des mécanismes de socialisation des pertes ou des stratégies de priorité pour les détenteurs en mainnet.

Implications pour l’industrie

Cet incident représente un point d'inflexion critique pour la sécurité des ponts inter-chaînes et la composabilité des jetons de restaking liquide (LRT). L’exploitation met en lumière des vulnérabilités fondamentales dans les paramètres de sécurité configurables des ponts, en particulier les risques liés aux configurations simplifiées de DVN. L’événement a intensifié la surveillance des normes de sécurité de l’architecture des ponts et des risques systémiques posés par des protocoles DeFi fortement interconnectés.

La brèche de KelpDAO dépasse le précédent record de 2026 détenu par l’exploitation de Drift Protocol de 280-285 millions de dollars du 1er avril, soulignant une tendance alarmante d’attaques de plus en plus sophistiquées ciblant des infrastructures inter-chaînes complexes. Avec plus de 1,2 milliard de dollars de pertes cryptographiques enregistrées en avril 2026 à travers plusieurs incidents, y compris l’attaque de détournement de domaine CoW Swap, l’industrie doit renforcer ses infrastructures de sécurité et mettre en œuvre des cadres de gestion des risques inter-protocoles plus robustes.

Les utilisateurs affectés et les participants au marché sont invités à suivre les canaux officiels de KelpDAO et d’Aave pour des mises à jour continues concernant la récupération des fonds, les mécanismes de compensation, et les délais de réouverture du protocole.

#KelpDAO #DeFiSecurity #CryptoHack #BridgeExploit