292 millions de dollars disparus en 46 minutes : Décryptage du hack DeFi de Kelp DAO

TLDR

• Le bridge de Kelp DAO alimenté par LayerZero a été exploité samedi, drainant 116 500 rsETH d'une valeur de ~292 millions de dollars
• L'attaquant a trompé la couche de messagerie de LayerZero pour libérer les fonds vers une adresse contrôlée par l'attaquant
• Environ 250 millions de dollars de fonds volés ont été convertis en ETH ; une adresse financée par Tornado Cash a été utilisée
• Au moins neuf protocoles ont gelé les marchés rsETH, notamment Aave, SparkLend et Fluid
• Il s'agit désormais de la plus grande exploitation DeFi de 2026, dépassant le piratage du Drift Protocol du 1er avril

Un attaquant a drainé 116 500 rsETH du bridge de Kelp DAO alimenté par LayerZero samedi à 17h35 UTC, dérobant environ 292 millions de dollars d'actifs cryptographiques.

Le montant volé représente environ 18 % de l'offre totale en circulation de rsETH de 630 000 tokens, selon les données de CoinGecko.

Kelp DAO est un protocole de restaking liquide. Il prend les ETH déposés par les utilisateurs, les achemine via EigenLayer pour obtenir un rendement supplémentaire, et émet des rsETH comme token de reçu échangeable.

L'attaquant a trompé la couche de messagerie cross-chain de LayerZero en lui faisant croire qu'une instruction valide était arrivée d'un autre réseau. Cela a provoqué la libération des fonds par le bridge de Kelp vers un portefeuille contrôlé par l'attaquant.

Le multisig d'urgence de Kelp a suspendu les contrats principaux du protocole 46 minutes après le drainage, à 18h21 UTC. Deux tentatives ultérieures de drainer 40 000 rsETH supplémentaires — d'une valeur d'environ 100 millions de dollars — ont toutes deux été bloquées.

Les fonds volés ont été transférés via une adresse financée par Tornado Cash. Environ 250 millions de dollars de rsETH volés avaient déjà été convertis en ETH, selon la société de sécurité blockchain Cyvers.

Les retombées se propagent à travers la DeFi

Le bridge qui a été drainé détenait la réserve soutenant les rsETH wrappés sur plus de 20 blockchains, notamment Base, Arbitrum, Linea, Blast et Scroll.

Avec cette réserve disparue, les détenteurs de rsETH sur les réseaux de couche 2 font désormais face à une incertitude quant à savoir si leurs tokens sont entièrement soutenus.

Aave a gelé les marchés rsETH sur V3 et V4 quelques heures après l'exploitation. Le token d'Aave a chuté d'environ 10 % alors que les marchés intégraient le risque de créances douteuses potentielles.

SparkLend et Fluid ont également gelé leurs marchés rsETH. Lido Finance a suspendu les dépôts dans son produit earnETH, qui comporte une exposition au rsETH, tout en précisant que son protocole de staking principal n'était pas impliqué.

Ethena a suspendu ses bridges LayerZero OFT depuis le mainnet Ethereum par précaution pendant environ six heures, indiquant qu'elle n'avait pas d'exposition au rsETH.

Kelp a publié sa première réponse publique à 20h10 UTC — près de trois heures après l'attaque. Le protocole a déclaré qu'il travaillait avec LayerZero, Unichain, ses auditeurs et des spécialistes de la sécurité externes.

Une période difficile pour la DeFi en 2026

Le PDG de Cyvers, Deddy Lavid, a déclaré que l'incident montre les risques de la composabilité dans la DeFi, où les protocoles sont profondément connectés.

Le Drift Protocol, une plateforme basée sur Solana, a été drainé d'environ 285 millions de dollars le 1er avril lors d'une attaque liée à des acteurs affiliés à la Corée du Nord.

Des protocoles plus petits, notamment CoW Swap, Zerion, Rhea Finance et Silo Finance, ont également été exploités ces dernières semaines.

Les pertes totales en crypto dues aux piratages et aux arnaques ont atteint environ 482 millions de dollars au T1 2026, selon Cyvers.

L'exploitation de Kelp DAO se présente désormais comme le plus grand piratage DeFi de 2026, dépassant Drift de plusieurs millions de dollars.

Kelp n'a pas révélé comment l'attaquant a contourné la logique de validation du bridge au moment de la publication.

L'article $292 Million Gone in 46 Minutes: Inside the Kelp DAO DeFi Hack est apparu en premier sur CoinCentral.