🚨 #KelpDAOBridgeHacked — Un tournant pour la sécurité de la DeFi 🚨

#KelpDAOBridgeHacked L'exploitation du pont KelpDAO représente un moment charnière pour la sécurité DeFi inter-chaînes, révélant des vulnérabilités critiques dans la gestion des protocoles de restaking liquide en ce qui concerne la garantie collatérale multi-chaînes. La fuite de $292 millions de 116 500 rsETH du pont de Kelp alimenté par LayerZero le 19 avril 2026, constitue désormais le plus grand piratage DeFi de l'année et la deuxième plus grande exploitation de pont dans l'histoire de la crypto, dépassée seulement par le vol de $625 millions du réseau Ronin en 2022.

Comprendre le vecteur d'attaque nécessite d'examiner la relation architecturale entre KelpDAO et LayerZero. Kelp fonctionne comme un protocole de restaking liquide, permettant aux utilisateurs de déposer des dérivés de staking ETH comme stETH ou cbETH en échange de rsETH, un jeton représentant des positions de restaking générant un rendement via EigenLayer. Pour permettre la circulation de rsETH sur plus de 20 blockchains, notamment Base, Arbitrum, Linea, Blast, Mantle et Scroll, Kelp a utilisé la norme de jeton fongible omnichaîne (OFT) de LayerZero, qui verrouille les jetons sur le réseau principal Ethereum tout en émettant des représentations encapsulées sur les chaînes de destination.

La sophistication de l'exploitation réside dans sa cible au niveau de l'infrastructure plutôt que dans une vulnérabilité de contrat intelligent. Les attaquants, initialement attribués au groupe Lazarus de Corée du Nord et à sa sous-unité TraderTraitor par LayerZero, ont exécuté une opération en plusieurs étapes compromettant le mécanisme de vérification lui-même. Ils ont d'abord infiltré deux nœuds RPC sur lesquels le vérificateur de LayerZero s'appuyait pour la validation des messages inter-chaînes, en remplaçant le logiciel légitime par des binaires malveillants conçus pour rapporter sélectivement des données de transaction frauduleuses. Lorsque le vérificateur de LayerZero interrogeait ces nœuds compromis, il recevait la confirmation qu’un transfert inter-chaînes valide avait eu lieu, alors qu’aucune telle transaction n’existait sur la chaîne source.

Compromettre deux nœuds seul s’est avéré insuffisant, car l’architecture du vérificateur de LayerZero interroge plusieurs points de terminaison RPC pour la redondance. Les attaquants ont déployé une attaque coordonnée de déni de service distribué contre des nœuds externes non compromis entre 10h20 et 11h40, heure du Pacifique, samedi, forçant le basculement vers l’infrastructure empoisonnée. Une fois que les nœuds malveillants sont devenus la seule source de données, ils ont ordonné au pont de Kelp de libérer 116 500 rsETH, environ 18 % de l’offre en circulation, vers des adresses contrôlées par l’attaquant. Le logiciel malveillant s’est ensuite autodétruit, effaçant les binaires et les journaux locaux pour compliquer l’analyse forensique.

Le facteur clé ayant permis cette attaque fut la décision de Kelp d’opérer une configuration à un seul vérificateur (1-sur-1), malgré les recommandations explicites de LayerZero pour une redondance multi-vérificateurs. Dans une configuration correctement renforcée nécessitant un consensus entre plusieurs réseaux de vérificateurs décentralisés (DVNs), compromettre un seul flux de données ne suffirait pas à falsifier des messages inter-chaînes valides. LayerZero a confirmé que chaque jeton et application utilisant la norme OFT en configuration multi-vérificateurs est resté totalement intact, démontrant que le protocole fonctionnait comme prévu, tandis que les choix de sécurité de Kelp ont créé la faille exploitable.

Les conséquences immédiates ont entraîné des effets en cascade sur les protocoles DeFi exposés à rsETH. Aave, le plus grand protocole de prêt avec une garantie en rsETH, a été confronté à des scénarios de créances douteuses allant de $123 millions à $230 millions selon la façon dont Kelp alloue le déficit. La estimation inférieure suppose des pertes réparties entre tous les détenteurs de rsETH, provoquant environ 15 % de dépeg, tandis que la plus haute reflète une concentration sur les réseaux Layer 2 si les pertes restent isolées aux déploiements hors Ethereum. L’attaquant a déposé 89 567 rsETH en garantie sur Aave, empruntant environ $190 millions en ETH et autres actifs sur Ethereum et Arbitrum, laissant le protocole exposé à une garantie potentiellement dévalorisée.

La réponse d’urgence d’Aave a gelé les marchés rsETH sur V3 et V4 en quelques heures, fixé les ratios prêt/valeur à zéro, et suspendu les nouveaux emprunts contre cet actif. Malgré ces mesures, environ $6 milliards de valeur totale verrouillée ont été retirés d’Aave alors que les utilisateurs réévaluaient les risques liés à l’interconnexion des infrastructures DeFi. SparkLend, Fluid et Upshift ont également gelé leurs marchés rsETH, tandis que Lido Finance a suspendu temporairement ses dépôts dans son produit earnETH exposé à rsETH. Ethena a suspendu temporairement ses ponts OFT LayerZero par précaution, malgré l’absence d’exposition directe à rsETH.

L’écosystème DeFi plus large a subi des effets de contagion sévères. La valeur totale verrouillée dans les protocoles DeFi a chuté de $14 milliard pour atteindre environ $85 milliard, atteignant un creux sur un an et enregistrant une baisse de 50 % par rapport aux pics d’octobre 2025. À lui seul, Aave a vu environ $10 milliards de retraits de dépôts. La contraction du TVL du secteur DeFi reflète non seulement les pertes directes de l’exploitation, mais aussi une réévaluation fondamentale du risque de ponts inter-chaînes, car les utilisateurs réalisent que les actifs encapsulés sur Layer 2 peuvent manquer de garantie complète lorsque les réserves du pont sont compromises.

La réponse post-incident de LayerZero a d’importantes implications pour les normes d’infrastructure inter-chaînes. Le protocole a annoncé qu’il ne signera plus de messages pour toute application utilisant une configuration à un seul vérificateur, imposant ainsi une migration obligatoire vers des configurations multi-vérificateurs dans tout l’écosystème. Ce changement de politique transforme ce qui était auparavant une recommandation de sécurité en une exigence au niveau du protocole, pouvant prévenir des exploits similaires mais aussi augmenter la complexité opérationnelle et les coûts pour les applications inter-chaînes.

Les dynamiques de dépeg de rsETH présentent un risque de marché continu. Avec les réserves du pont drainées, les détenteurs hors Ethereum font face à l’incertitude quant à la garantie totale de leurs jetons. Cela crée une pression réflexive où des rachats paniques sur Layer 2 pourraient forcer Kelp à désengager ses positions de restaking pour honorer les retraits, déclenchant potentiellement un dépegging supplémentaire et des liquidations en cascade sur les protocoles de prêt. Le multisignature de pause d’urgence de Kelp a gelé les contrats principaux 46 minutes après la fuite initiale, mais deux tentatives d’exploitation ultérieures à 18h26 UTC et 18h28 UTC, visant chacune à drainer 40 000 rsETH d’une valeur d’environ $100 millions, ont été empêchées uniquement par ces mesures d’urgence.

Du point de vue de la recherche en sécurité, cette exploitation démontre l’évolution des opérations de vol de crypto par des acteurs étatiques. La cible au niveau de l’infrastructure du groupe Lazarus, combinant compromission RPC et manipulation de basculement DDoS, représente une sophistication nettement supérieure à celle des exploits de contrats intelligents précédents. La manipulation sélective des données, invisible pour l’infrastructure de surveillance de LayerZero qui interroge les mêmes RPC depuis différentes adresses IP, montre un savoir-faire avancé en sécurité opérationnelle conçu pour échapper à la détection jusqu’à l’exécution.

L’incident met également en lumière les risques systémiques liés à la complexité des protocoles de restaking liquide. En encapsulant des dérivés de ETH staké via EigenLayer, puis en bridant ces représentations encapsulées à travers plusieurs chaînes via LayerZero, rsETH a créé une chaîne de dépendance où des vulnérabilités à n’importe quelle couche, pont ou mécanisme de vérification pourraient compromettre toute la pile de garanties. La perte de $292 millions dépasse les exploits combinés du mois précédent, y compris l’exploitation Drift de $285 millions du 1er avril, établissant 2026 comme une année record pour le vol DeFi avec plus de $600 millions volés en seulement 20 jours.

Pour les participants DeFi, l’exploitation de KelpDAO impose une réévaluation fondamentale du risque d’actifs inter-chaînes. Les actifs encapsulés sur Layer 2 ne sont aussi sécurisés que leur infrastructure de pont, et la concentration des réserves de garantie en points de défaillance uniques crée des vulnérabilités systémiques que des attaquants sophistiqués peuvent exploiter. La migration vers des configurations multi-vérificateurs, tout en améliorant la sécurité, ne peut éliminer les hypothèses de confiance fondamentales inhérentes au pontage inter-chaînes. Jusqu’à l’émergence d’une communication inter-chaînes véritablement sans confiance, les utilisateurs de DeFi doivent intégrer la prime de risque du pont dans leur évaluation des opportunités de rendement sur les déploiements multi-chaînes.