Un braquage massif de 292 millions de dollars frappe Kelp DAO, efface les avoirs de rsETH, incitant Aave à verrouiller les pools d'investissement vulnérables
Une cyberattaque dévastatrice a frappé Kelp DAO, un protocole de restauration liquide, entraînant une perte énorme d'environ 292 millions de dollars. Cet exploit massif a été initialement détecté par le célèbre enquêteur de blockchain ZachXBT le 18 avril à 14h52. L'attaquant a intelligemment manipulé le système de messagerie inter-chaînes de LayerZero, le trompant en lui faisant vérifier une fausse demande de transfert provenant d'un autre réseau. Cela a conduit au transfert non autorisé de 116 500 jetons rsETH, évalués à environ 292 millions de dollars, selon les données en chaîne. Ce montant exploité représente environ 18 % de l’offre totale en circulation de 630 000 jetons rsETH.
En réponse à l'attaque, Kelp DAO a rapidement activé ses protocoles d'urgence, arrêtant immédiatement les dépôts et les retraits de rsETH. Le protocole collabore actuellement avec LayerZero et Unichain pour résoudre ce problème. Kelp DAO a annoncé sur X qu'il avait identifié une activité inter-chaîne suspecte impliquant rsETH et avait suspendu les contrats rsETH sur le réseau principal et plusieurs réseaux de couche 2 tout en menant une enquête. Le protocole travaille en étroite collaboration avec les meilleurs experts en sécurité, auditeurs et partenaires, notamment LayerZero et Unichain, pour mener une analyse des causes profondes.
La situation s'est aggravée à mesure que les fonds volés ont été détournés vers divers protocoles de prêt, notamment Aave V3, Compound V3 et Euler. L’attaquant a utilisé le rsETH volé comme garantie pour emprunter des quantités substantielles d’ETH enveloppés, amassant plus de 236 millions de dollars de dettes. Les données en chaîne révèlent que l'attaquant a consolidé environ 74 000 ETH après l'exploitation, générant un montant stupéfiant de 280 millions de dollars de créances irrécouvrables sur ces protocoles.
En conséquence, Aave a suspendu les marchés rsETH sur Aave V3 et Aave V4, confirmant que ses contrats intelligents n'étaient pas compromis et que le problème provenait du jeton rsETH. Aave examine actuellement les prêts adossés à rsETH ouverts après l'exploit pour évaluer l'exposition potentielle et étudie des mesures pour remédier à toute créance irrécouvrable qui en résulterait. Le projet a déclaré qu'il évaluerait l'impact de l'exploit sur son protocole et prendrait les mesures nécessaires pour atténuer tout risque potentiel.
D'autres protocoles, tels que SparkLend et Fluid, ont pris des précautions similaires, SparkLend signalant une exposition nulle au rsETH en raison de son approche conservatrice de gestion des risques. Lido Finance a suspendu les dépôts dans son produit EarnETH, qui est exposé au rsETH, tout en soulignant que son protocole de jalonnement de base et le jeton stETH n'ont pas été affectés. Ethena, un émetteur de stablecoin, a temporairement fermé ses ponts LayerZero du réseau principal Ethereum par mesure de précaution, malgré l'absence d'exposition au rsETH et le maintien d'une garantie supérieure à 101 %.
Les conséquences de l'attaque ont eu un impact significatif sur le marché, le prix du jeton d'Aave ayant chuté d'environ 10 % selon CoinGecko. Cette attaque est le plus grand exploit DeFi de l'année à ce jour et fait suite à une série d'attaques plus petites contre des protocoles tels que CoW Swap, Zerion, Rhea Finance et Silo Finance. Il y a quelques semaines à peine, le protocole perpétuel basé sur Solana, Drift Protocol, a subi une violation administrative ciblée, entraînant une perte d'environ 285 millions de dollars, qui a ensuite été liée à des acteurs affiliés à la Corée du Nord. Cette dernière attaque contre Kelp DAO a soulevé des inquiétudes quant à la sécurité des protocoles DeFi et à la nécessité d'une vigilance accrue de la part du secteur.