Le plus grand exploit cryptographique de 2026 : Kelp DAO a touché 292 millions de dollars avec de l'éther enveloppé réparti sur 20 chaînes
Un pont inter-chaînes contenant près d'un cinquième de l'offre en circulation d'un jeton d'éther réinvesti vient d'être épuisé, et les retombées se propagent à travers DeFi plus rapidement que Kelp DAO ne peut suspendre les contrats.
Un attaquant a drainé 116 500 rsETH (éther remis en jeu) du pont alimenté par LayerZero de Kelp DAO à 17 h 35 UTC samedi, d'une valeur d'environ 292 millions de dollars aux prix actuels et représentant environ 18 % des 630 000 jetons en circulation de rsETH suivis par CoinGecko.
LayerZero est une couche de messagerie inter-chaînes, ou l'infrastructure qui permet à différentes blockchains de s'envoyer des instructions vérifiées. Kelp DAO est un protocole de reprise liquide, qui prend les $ETH déposés par l'utilisateur, les achemine via EigenLayer pour gagner un rendement supplémentaire en plus des récompenses de mise Ethereum standard et émet du rsETH comme reçu négociable.
Le pont qui a été vidé contenait les versions enveloppées de réserve rsETH du jeton déployé sur plus de 20 autres blockchains.
L'attaquant a trompé la couche de messagerie inter-chaînes de LayerZero en lui faisant croire qu'une instruction valide était arrivée d'un autre réseau, ce qui a incité le pont de Kelp à libérer 116 500 rsETH vers une adresse contrôlée par l'attaquant.
La pause d'urgence multisig de Kelp a gelé les contrats principaux du protocole 46 minutes après la vidange réussie, à 18h21 UTC. Deux tentatives de suivi à 18h26 UTC et 18h28 UTC ont toutes deux été annulées, chacune transportant le même paquet LayerZero tentant un autre drain de 40 000 rsETH d'une valeur d'environ 100 millions de dollars.
rsETH est déployé sur plus de 20 réseaux, dont Base, Arbitrum, Linea, Blast, Mantle et Scroll, avec la norme OFT de LayerZero gérant le mouvement inter-chaînes.
Le rsETH détenu dans le pont était les versions enveloppées de support de réserve sur chaque blockchain de couche 2, ou les réseaux qui fonctionnent au sommet d'Ethereum.
Cette réserve étant épuisée, les détenteurs de déploiements non-Ethereum sont désormais confrontés à la question de savoir si leurs jetons contiennent quelque chose en dessous, ce qui crée une boucle de rétroaction où les rachats de panique sur les L2 font pression sur l'offre d'Ethereum non affectée, forçant potentiellement Kelp à annuler ses positions pour honorer les retraits.
La liste des contagions est longue et ne cesse de s’allonger.
Aave a gelé les marchés rsETH sur V3 et V4 en quelques heures, le fondateur Stani Kulechov affirmant que l'exploit était externe et que les contrats d'Aave n'étaient pas compromis. SparkLend et Fluid ont gelé leurs marchés rsETH.
L'AAVE a chuté d'environ 10 % alors que le marché évalue les créances douteuses potentielles.
Lido Finance a suspendu les dépôts supplémentaires dans son produit EarnETH, qui comporte une exposition au rsETH, tout en précisant que stETH et wstETH ne sont pas affectés et que le protocole de jalonnement principal du Lido n'est pas impliqué dans l'incident.
Ethena a temporairement suspendu ses ponts LayerZero OFT du réseau principal Ethereum par mesure de précaution, affirmant qu'elle n'a aucune exposition à rsETH et qu'elle reste surdimensionnée à plus de 101 %. L'émetteur de stablecoin a déclaré que la pause durerait environ six heures le temps que la cause profonde soit identifiée.
Kelp, un produit sous l'égide de KernelDAO, a reconnu l'incident dans son premier message public X à 20h10 UTC, près de trois heures après la vidange. Le protocole a indiqué qu'il enquêtait avec LayerZero, Unichain, ses auditeurs et des spécialistes de la sécurité externes. Il n'a pas révélé comment l'exploit a contourné la logique de validation du pont.
Le fait que rsETH reste stable pendant le week-end dépend de la part du flottant inter-chaînes qui tente d'être échangée en $ ETH sur Ethereum et de la capacité de Kelp à récupérer une partie des fonds volés avant que la piste Tornado Cash ne se refroidisse.
Le hack atterrit dans une période inhabituellement hostile pour DeFi. Le protocole perpétuel basé sur Solana, Drift, a perdu environ 285 millions de dollars le 1er avril lors d'une attaque liée plus tard à des acteurs affiliés à la Corée du Nord, et au moins une douzaine de protocoles plus petits ont été exploités dans les semaines qui ont suivi, notamment CoW Swap, Zerion, Rhea Finance et Silo Finance.
La perte de 292 millions de dollars de Kelp est désormais le plus gros exploit DeFi de 2026, dépassant Drift de quelques millions de dollars.