#KelpDAOBridgeHacked

‍#Gate13thAnniversaryLive
Le pont soutenu par ZRO de KelpDAO a été piraté le 18 avril 2026, entraînant le vol d’environ 292 à 294 millions de dollars en pièces sur plus de 20 chaînes ; cela est devenu la plus grande attaque DeFi de 2026. L’attaque, utilisant un validateur ZRO compromis unique, a provoqué des blocages immédiats sur Aave, Arbitrum et d’autres protocoles.

Informations de base

Date de l’attaque : 18 avril 2026, vers 17h35 UTC

Fonds volés : environ 116 500 pièces (~292–294 millions de dollars), environ 18 % de l’offre en circulation

Vecteur d’attaque : Faux message cross-chain ZRO via un réseau de validateurs décentralisés compromis (DVN) mis en place

Protocoles affectés : Aave, SparkLend, Fluid, Arbitrum, Lido, Ethena, Compound, Euler

Conséquences immédiates :

Aave a gelé V3 et V4 et a fait face à un risque de ~177–196 millions de dollars en créances douteuses.

Arbitrum a gelé 30 766 ETH (~$100 millions ) liés au portefeuille du hacker.

ZRO a chuté de plus de 22 % en 24 heures.

Le prix du jeton AAVE a chuté d’environ 20 % pour atteindre 92,06 $.

Impact sur le marché

Ethereum (ETH) : Le prix est tombé à 2 300 $ immédiatement après l’attaque et a été entièrement intégré par les marchés de prédiction.

Bitcoin (BTC) : L’aversion au risque a augmenté la probabilité que les contrats de prédiction pour BTC atteignent 60 000 $ d’ici la fin avril, à 22 %.

Liquidité DeFi : Environ $9 milliard$100 a été retiré de Aave dans une panique ; cela indique une crainte systémique concernant la sécurité des garanties du pont.

Responsabilité et attribution

Attaquant suspecté : Le groupe Lazarus de Corée du Nord, qui a utilisé des techniques de falsification sophistiquées.

Position de KelpDAO : Blâme l’infrastructure de ZRO, en particulier les nœuds RPC compromis et la configuration peu sûre du DVN 1-à-1. Kelp insiste sur le fait que ses propres contrats n’ont pas été directement exploités.

Réponse de ZRO : Reconnaissance des défauts dans la configuration du validateur, travaillant activement sur des mesures correctives avec KelpDAO.

Mesures et prochaines étapes

Gel d’urgence : KelpDAO a arrêté le transfert de pièces volées entre Ethereum et les L2 en 46 minutes.
Portefeuilles bloqués : KelpDAO a mis sur liste noire les adresses abusives et a mis en place SEAL 911, une ligne directe pour les menaces de sécurité.

Action de gouvernance : La DAO d’Arbitrum votera sur le sort de (millions de dollars en ETH gelés.

Corrections futures : Des appels sont lancés pour la mise en place de plusieurs configurations de validateurs DVN afin d’éviter les points de défaillance uniques dans la messagerie cross-chain.

Risques et leçons

Les vulnérabilités des ponts restent le plus grand risque systémique dans la DeFi.

Les configurations à validateur unique sont inacceptables pour les protocoles de grande valeur ; la redondance est essentielle.

Répartition des garanties : L’utilisation d’actifs compromis comme garanties )par exemple sur Aave$ZRO pourrait entraîner une propagation des dommages à plusieurs plateformes.

Confiance communautaire : KelpDAO, qui détenait 1,57 milliard de dollars en valeur totale verrouillée avant l’attaque, a subi un coup à sa crédibilité, et la récupération dépendra des corrections mises en œuvre de manière transparente.
‍$AAVE $ARB