Une violation de Kelp DAO de 290 millions de dollars liée au groupe Lazarus et à la faiblesse de la sécurité du pont

Table des matières Dans ce qui représente l'une des failles de sécurité financières décentralisées les plus importantes de 2026, Kelp DAO a subi des pertes totalisant environ 290 à 293 millions de dollars lors d'une attaque du week-end. LayerZero, le protocole de messagerie inter-chaînes utilisé lors de l'incident, a attribué la vulnérabilité aux décisions d'infrastructure de Kelp. Plus tôt dans la journée, nous avons identifié une activité inter-chaîne suspecte impliquant rsETH. Nous avons suspendu les contrats rsETH sur le réseau principal et plusieurs L2 pendant que nous enquêtons. Nous travaillons avec @LayerZero_Core, @unichain, nos auditeurs et les meilleurs experts en sécurité sur RCA. Nous vous garderons… — Kelp (@KelpDAO) 18 avril 2026 La violation s'est concentrée sur le mécanisme de transfert de jetons rsETH de Kelp à travers différents réseaux blockchain. Fonctionner avec une architecture à vérificateur unique signifiait qu'une seule autorité était nécessaire pour valider les transferts inter-chaînes. Selon LayerZero, la société avait explicitement mis en garde Kelp contre cette configuration et avait exhorté à l'adoption de plusieurs sources de vérification indépendantes. LayerZero : KelpDAO perd environ 290 millions de dollars lors d'un exploit, attribué au groupe Lazarus de la RPDC LayerZero a rapporté que le 18 avril 2026, KelpDAO a subi un exploit entraînant des pertes d'environ 290 millions de dollars, attribuées à titre préliminaire au groupe Lazarus de la RPDC (TraderTraitor). L'attaque a empoisonné… pic.twitter.com/mfhQRaC2p9 — Wu Blockchain (@WuBlockchain) 20 avril 2026 Les pirates ont infiltré deux nœuds d'appel de procédure à distance, des serveurs spécialisés permettant aux logiciels d'interagir avec les données de la blockchain. Ces nœuds légitimes ont été remplacés par des versions compromises qui fournissaient des informations frauduleuses au système de vérification de LayerZero tout en conservant une apparence normale pour les autres composants de l'infrastructure. Étant donné que le processus de vérification de LayerZero a également consulté des nœuds externes légitimes, les attaquants ont lancé une campagne de déni de service distribué pour désactiver ces systèmes. Cette tactique a redirigé le trafic réseau via l'infrastructure compromise pendant une fenêtre de 80 minutes de 10 h 20 à 11 h 40, heure du Pacifique, samedi. Lorsque le mécanisme de basculement était activé, les nœuds malveillants transmettaient la confirmation d'une transaction légitime au vérificateur. Le protocole de pont de Kelp a ensuite libéré 116 500 rsETH dans les portefeuilles des attaquants. Le logiciel hostile s’est ensuite éliminé, effaçant toutes les preuves médico-légales des serveurs concernés. Les jetons rsETH volés ont été déployés comme garantie sur diverses plateformes de prêt, permettant aux attaquants de retirer de véritables actifs. Aave, la plateforme de prêt décentralisée dominante, a absorbé les dégâts les plus importants. Aave s'est retrouvé à détenir une garantie rsETH illiquide alors que des actifs de valeur tels que l'ETH avaient déjà été extraits via des mécanismes d'emprunt. Le jeton natif d’Aave a chuté d’environ 15 % sur une période de 24 heures, tandis que le protocole a enregistré environ 6 milliards de dollars de retraits alors que les participants se précipitaient pour retirer leurs fonds. Pas moins de neuf applications DeFi ont subi des dommages, dont Fluid, Compound Finance, SparkLend et Euler. La société de cybersécurité Cyvers a qualifié l’incident d’« événement de contagion inter-protocoles » s’étendant bien au-delà d’une vulnérabilité de plate-forme unique. Avec une confiance préliminaire, LayerZero a lié cette attaque au groupe nord-coréen Lazarus, en particulier à sa division TraderTraitor. Cette même organisation a été impliquée dans la violation du protocole Drift de 285 millions de dollars le 1er avril, indiquant que Lazarus a extrait plus de 575 millions de dollars de la finance décentralisée sur une période de 18 jours en utilisant deux méthodologies d'attaque distinctes. LayerZero ne signale aucune preuve de propagation de la vulnérabilité aux applications fonctionnant avec des architectures multi-vérificateurs. La société a rétabli son service de vérification et a annoncé une politique permanente refusant de traiter les messages pour toute application utilisant des configurations à vérificateur unique. Le fondateur de Curve Finance, Michael Egorov, a souligné que cette violation démontre les risques inhérents au recours à des sources solitaires de vérification des transactions. Il a en outre mis en garde contre l’utilisation d’infrastructures inter-chaînes à moins que cela ne soit essentiel sur le plan opérationnel. Selon Charles Guillemet, CTO de Ledger, 2026 sera « très probablement la pire année en termes de piratage ». Les pertes de sécurité liées aux crypto-monnaies ont déjà dépassé 482 millions de dollars au premier trimestre 2026. Kelp est resté silencieux sur la version des événements de LayerZero et n'a pas expliqué pourquoi le protocole a continué à fonctionner avec une architecture à vérificateur unique malgré la réception d'avertissements de sécurité explicites.