L'exploit Kelp de 292 millions de dollars : comment cela s'est produit et ce que cela signifie pour DeFi
Un exploit d'environ 292 millions de dollars au cours du week-end a secoué l'industrie de la cryptographie, révélant les vulnérabilités de l'infrastructure de la finance décentralisée (DeFi) et soulevant des inquiétudes quant aux effets d'entraînement sur les protocoles de prêt.
Bien que les enquêtes soient toujours en cours, les premières analyses suggèrent que l’attaque était centrée sur le jeton rsETH de Kelp – une version de l’éther à rendement ($ ETH) – et sur le mécanisme utilisé pour déplacer les actifs entre les blockchains.
L'attaquant semble avoir manipulé ce système pour créer de grandes quantités de jetons sans soutien approprié, puis les a rapidement utilisés comme garantie pour emprunter et drainer des actifs réels des marchés de prêt, principalement auprès d'Aave, le plus grand prêteur de crypto décentralisé.
L'incident est le dernier coup porté à DeFi, survenu quelques semaines seulement après l'exploitation de 285 millions de dollars du protocole Drift basé sur Solana, ébranlant encore davantage la confiance des investisseurs dans le secteur de la cryptographie de près de 90 milliards de dollars.
Comment l'attaque a fonctionné
À un niveau élevé, l'exploit ciblait un composant de pont LayerZero – un élément d'infrastructure qui permet aux actifs de se déplacer entre différentes blockchains, a déclaré Charles Guillemet, CTO du fabricant de portefeuille matériel Ledger, à CoinDesk dans une note.
Les ponts fonctionnent généralement en verrouillant les actifs sur une chaîne et en frappant des jetons équivalents sur une autre. Ce processus dépend d’une entité de confiance – souvent appelée oracle ou validateur – pour confirmer les dépôts.
Dans ce cas, Kelp a effectivement agi en tant que vérificateur. Selon Guillemet, le système reposait sur une configuration à signataire unique, ce qui signifie qu'une seule entité pouvait approuver n'importe quelle transaction.
"Il semble que l'attaquant ait pu signer un message… lui permettant de frapper une grande quantité de rsETH", a-t-il déclaré. Il a ajouté qu’on ne sait toujours pas comment cet accès a été obtenu.
Michael Egorov, fondateur de Curve Finance, a souligné la même faiblesse dans la configuration du système.
"Des choses peuvent arriver lorsque vous faites confiance à un seul parti, quel qu'il soit."
Cette configuration a permis à l'attaquant de créer efficacement des jetons non sauvegardés, même si aucun actif correspondant n'était verrouillé sur la chaîne source.
Une fois émis, les jetons ont été rapidement déployés. L'attaquant "les a immédiatement déposés dans des protocoles de prêt, principalement Aave, pour emprunter de vrais $ ETH", a expliqué Guillemet.
Cette manœuvre a fait passer le problème d’un simple exploit à un problème de marché plus large. Les plateformes de prêt DeFi détiennent désormais des garanties qui peuvent être difficiles à dénouer, tandis que les actifs précieux et liquides sont déjà épuisés.
"Aave s'est retrouvé avec du rsETH qui ne peut pas vraiment être vendu et emprunté au maximum [sic] $ETH, donc personne ne peut retirer $ETH", a déclaré Egorov de Curve.
En conséquence, Aave et d'autres protocoles de prêt pourraient s'appuyer sur des centaines de millions de dollars de garanties douteuses et de créances irrécouvrables, a-t-il averti, suscitant des inquiétudes quant à une potentielle dynamique de « ruée bancaire » alors que les utilisateurs se précipitent pour retirer des fonds.
Aave a constaté une baisse d'environ 6 milliards de dollars de ses actifs sur le protocole, les utilisateurs ayant retiré leurs actifs à la suite de l'incident. Le jeton associé au protocole a baissé d'environ 15 % au cours des dernières 24 heures de négociation.
Ce que nous ne savons toujours pas
Des questions clés demeurent quant à la manière dont le validateur a été compromis. Le système s’appuyait sur le nœud officiel de LayerZero, ce qui soulevait l’incertitude quant à savoir s’il avait été piraté, mal configuré ou induit en erreur.
"A-t-il été piraté ? A-t-il été trompé ? Nous ne le savons pas", a déclaré Egorov.
L'identité de l'attaquant est également inconnue, même si Guillemet a déclaré que l'ampleur de l'attaque suggère un acteur sophistiqué.
"Ce n'est clairement pas des scénaristes", a-t-il déclaré.
Coup dur pour la confiance dans DeFi
Au-delà des pertes immédiates, l’exploit de l’épisode rappelle également qu’à mesure que DeFi devient de plus en plus interconnecté, les défaillances d’une couche peuvent rapidement se répercuter sur tout le système.
Egorov a fait valoir que les modèles de prêt non isolés, dans lesquels les actifs partagent les risques entre les pools, amplifient l'impact de tels événements.
Il a également souligné les lacunes dans la manière dont les nouveaux actifs sont intégrés aux plateformes de prêt, affirmant que des configurations telles que la configuration du vérificateur 1 sur 1 de Kelp auraient dû être signalées plus tôt.
Cependant, Egorov a déclaré qu’il y avait un côté positif. "La crypto est un environnement difficile auquel aucune banque n'aurait survécu – et pourtant nous travaillons avec cela", a-t-il déclaré. "Je pense que DeFi va apprendre de cet incident et devenir plus fort qu'avant."
Pourtant, même si des incidents comme celui-ci conduisent à des mises à niveau et à des refontes des protocoles, ils ébranlent également la confiance des investisseurs dans le secteur DeFi au sens large.
"Dans l'ensemble, la confiance dans les protocoles DeFi est érodée par ce genre d'événement", a déclaré Guillemet.
"Et 2026 sera très probablement encore une fois la pire année en termes de piratage", a-t-il ajouté.
Lire la suite : « DeFi est mort » : la communauté crypto se démène après que le plus gros piratage de cette année ait révélé des risques de contagion