Kelp DAO subit une exploitation de pont de 292 millions de dollars en moins d'une heure

Table des matières Samedi à 17h35 UTC, des acteurs malveillants ont réussi à extraire 116 500 jetons rsETH de l'infrastructure de pont intégrée à LayerZero de Kelp DAO, s'enfuyant avec des actifs de crypto-monnaie évalués à environ 292 millions de dollars. KelpDAO a été exploité, avec environ 294 millions de dollars volés ! 🚨 L'attaquant a frappé 116 500 $RSETH (294 millions de dollars). En vendant $RSETH et en l'utilisant comme garantie pour emprunter $ETH, l'attaquant a obtenu 106 467 $ETH (250 millions de dollars).https://t.co/hSZZ7Teffv pic.twitter.com/0GfWLIX7rK — Lookonchain (@lookonchain) 19 avril 2026 Le volume compromis représente environ 18 % de l'offre totale de jetons en circulation de rsETH, qui totalise 630 000 unités basées sur les analyses CoinGecko. Kelp DAO fonctionne comme une plate-forme de restockage liquide qui accepte les dépôts ETH, les canalise via EigenLayer pour une génération de rendement améliorée et distribue rsETH sous forme de jetons de reçu transférables aux déposants. Plus tôt dans la journée, nous avons identifié une activité inter-chaîne suspecte impliquant rsETH. Nous avons suspendu les contrats rsETH sur le réseau principal et plusieurs L2 pendant que nous enquêtons. Nous travaillons avec @LayerZero_Core, @unichain, nos auditeurs et les meilleurs experts en sécurité sur RCA. Nous vous garderons… — Kelp (@KelpDAO) 18 avril 2026 Les auteurs ont exploité les vulnérabilités de l'infrastructure de communication inter-chaînes de LayerZero, trompant le système pour qu'il traite ce qui semblait être des instructions inter-réseaux légitimes. Cette manipulation a incité le contrat relais de Kelp à transférer des fonds importants vers des portefeuilles sous le contrôle des attaquants. L’équipe d’intervention d’urgence de Kelp a activé les mécanismes de pause du protocole sur les principaux contrats intelligents à 18h21 UTC, exactement 46 minutes après la violation initiale. Deux tentatives de retrait ultérieures visant 40 000 rsETH supplémentaires – d'une valeur d'environ 100 millions de dollars – ont été empêchées avec succès. L'analyse médico-légale de la blockchain de la société de sécurité Cyvers a révélé que les actifs volés étaient acheminés via des adresses précédemment financées via Tornado Cash. Au moment de l’analyse, environ 250 millions de dollars de rsETH compromis avaient déjà été convertis en ETH. Le contrat de pont compromis a servi de réserve de garantie pour soutenir les déploiements rsETH enveloppés sur plus de 20 réseaux blockchain, notamment Base, Arbitrum, Linea, Blast et Scroll. Avec l'élimination des réserves, les détenteurs de rsETH sur les plates-formes de couche 2 sont désormais confrontés à des questions importantes concernant les capacités de garantie et de rachat des jetons. Aave a mis en œuvre des suspensions immédiates du marché rsETH sur les plates-formes V3 et V4 quelques heures après la détection de la violation. Le [[LINK_START_0]]jeton d'Aave[[LINK_END_0]] a connu une dépréciation d'environ 10 %, les traders prenant en compte les risques potentiels d'exposition aux créances irrécouvrables. SparkLend et Fluid ont également adopté des gels du marché rsETH. Lido Finance a suspendu les dépôts sur son produit EarnETH en raison des avoirs en rsETH tout en soulignant que son infrastructure de jalonnement principale n'est pas affectée. Ethena a mis en œuvre des suspensions préventives du pont LayerZero OFT du réseau principal Ethereum pendant environ six heures, bien que le protocole ait confirmé une exposition nulle à rsETH. La déclaration publique initiale de Kelp est arrivée à 20h10 UTC, soit près de trois heures après l'attaque. Le protocole a confirmé une collaboration active avec LayerZero, Unichain, des partenaires d'audit et des consultants en sécurité externes. Le PDG de Cyvers, Deddy Lavid, a qualifié la violation de démonstration de vulnérabilités inhérentes à l'architecture de composabilité interconnectée de DeFi. Le Drift Protocol, opérant sur Solana, a subi environ 285 millions de dollars de pertes le 1er avril suite à une attaque attribuée à des acteurs menaçants nord-coréens. Des protocoles supplémentaires, notamment CoW Swap, Zerion, Rhea Finance et Silo Finance, ont connu des compromis de sécurité au cours des dernières semaines. Selon les données de Cyvers, les pertes combinées de crypto-monnaie dues aux exploits et aux stratagèmes frauduleux ont atteint environ 482 millions de dollars au cours du premier trimestre 2026. L'incident de Kelp DAO occupe désormais la position de faille de sécurité DeFi la plus importante de 2026, dépassant légèrement la compromission du protocole Drift. Au moment de la publication, Kelp n'a pas fourni de détails techniques expliquant comment les attaquants ont contourné l'architecture de validation du pont.