Le 18 avril 2026 à 17h35 UTC, dans le bloc Ethereum 24 908 285, un seul message falsifié a suffi. En une transaction, un attaquant a extrait 116 500 rsETH du pont LayerZero de Kelp DAO, soit environ 292 millions de dollars. Le protocole de restaking liquide venait de subir le plus gros piratage DeFi de l’année 2026, dépassant de quelques millions le hack de Drift Protocol survenu dix-sept jours plus tôt. Plus inquiétant encore : aucun bug dans le code des contrats intelligents n’était en cause. La faille se trouvait dans l’infrastructure hors chaîne, là où presque personne ne regardait.
Cet exploit du pont KelpDAO marque un tournant pour la finance décentralisée européenne et mondiale. Il combine une architecture de vérification à point de défaillance unique, une attaque par empoisonnement de nœuds RPC et la signature désormais familière du groupe Lazarus, lié à la Corée du Nord. Voici l’analyse complète des faits, des mécanismes techniques, de l’impact sur le marché et des conséquences réglementaires en Europe.
292 millions de dollars siphonnés en une seule transaction
Les chiffres donnent le vertige. L’attaquant a fait sortir 116 500 rsETH du contrat de séquestre de Kelp DAO, une valeur estimée à 292 millions de dollars au moment des faits. Selon l’analyse de la société forensique Innora.ai, l’opération s’est déroulée en une seule transaction horodatée au 18 avril 2026 à 17h35 UTC, dans le bloc Ethereum 24 908 285. Le piratage a immédiatement éclipsé celui de Drift Protocol, qui avait coûté 285 millions de dollars le 1er avril 2026.
Le volume de jetons dérobés représentait environ 18 % de l’offre totale de rsETH en circulation, d’après le cabinet de sécurité Halborn. Une telle proportion suffit à déstabiliser un actif et à menacer son ancrage à l’ether. Mais l’attaquant ne s’est pas contenté de fuir avec les jetons. Selon Galaxy Research, il a déposé le rsETH volé comme garantie sur Aave, Compound et Euler, puis a emprunté environ 236 millions de dollars en WETH et wstETH, transformant des jetons non adossés en actifs immédiatement liquides.
Pour comprendre l’ampleur du choc, il faut situer l’événement dans son contexte. La société Chainalysis a qualifié cet exploit du plus important vol lié aux cryptomonnaies depuis la brèche de Bybit en février 2025, qui avait porté sur 1,4 milliard de dollars. KelpDAO ne joue pas dans la même catégorie que Bybit, mais 292 millions de dollars envolés en quelques secondes rappellent brutalement que la DeFi reste un terrain de chasse privilégié pour les acteurs étatiques.
Anatomie de l’exploit : un pont LayerZero et un vérificateur 1-of-1
Le cœur du problème ne résidait pas dans les contrats de restaking de Kelp DAO, qui sont restés intacts. La vulnérabilité se logeait dans le pont cross-chain reposant sur LayerZero, plus précisément dans son mécanisme de vérification des messages inter-chaînes. L’attaquant a forgé un message qui a fait croire à l’adaptateur OFT (Omnichain Fungible Token) du rsETH, côté Ethereum, qu’un événement légitime de destruction de jetons avait eu lieu sur la chaîne source.
Selon les détails transactionnels publiés par DefiPrime, le message falsifié a atterri sur le contrat EndpointV2 de LayerZero (adresse 0x1a44076050125825900e736c501f859c50fE728c), avant d’être transmis à l’adaptateur OFT du rsETH (0x85d456B2DfF1fd8245387C0BfB64Dfb700e98Ef3). Ce dernier a alors libéré 116 500 rsETH du séquestre. En clair, le pont a cru qu’une autorisation de libération avait été émise sur la chaîne source, et il a déverrouillé des jetons qui n’étaient adossés à aucune destruction réelle.
La cause racine, identifiée par Halborn, tient en une expression technique lourde de conséquences : une configuration de vérificateur 1-of-1. Le pont reposait sur un unique DVN (Decentralized Verifier Network) pour valider l’authenticité des messages. Un seul vérificateur, donc un seul point de défaillance. Quand ce point unique a été dupé, plus rien ne s’opposait au pillage. Pour un protocole gérant des centaines de millions de dollars, ce choix d’architecture relève de la faute structurelle.
Le rôle de l’empoisonnement RPC et du DDoS
Comment l’attaquant a-t-il réussi à tromper ce vérificateur unique ? Chainalysis décrit une attaque visant l’infrastructure hors chaîne plutôt que le code. Les assaillants ont compromis des nœuds RPC internes et lancé en parallèle une attaque par déni de service distribué (DDoS) contre les nœuds externes. Privé de ses sources d’information fiables, le DVN s’est retrouvé à consommer des données empoisonnées.
Galaxy Research confirme cette lecture : le post-mortem de LayerZero a identifié un empoisonnement RPC, et non un vol de clé privée, une ingénierie sociale ou un bug de protocole. Cette nuance est capitale. Elle signifie que l’audit du code intelligent, sur lequel l’industrie a tant investi, n’aurait rien détecté. La menace s’est déplacée vers les couches d’infrastructure que les auditeurs traditionnels couvrent rarement.
rsETH et le restaking liquide expliqués
Kelp DAO est un protocole de restaking liquide bâti sur le modèle d’EigenLayer. Le principe : un utilisateur dépose de l’ether, qui est restaké pour sécuriser des services tiers, et reçoit en échange un jeton liquide, le rsETH, représentant sa créance sur les actifs restakés et leurs récompenses. Ce rsETH peut ensuite circuler librement dans l’écosystème DeFi, servir de garantie pour emprunter ou être échangé sur les marchés.
C’est précisément cette composabilité qui a amplifié les dégâts. DefiPrime souligne que les contrats de restaking n’ont pas failli et que les délégations EigenLayer sont restées intactes. L’adossement réel du rsETH déposé sur le réseau principal n’a jamais été compromis. Le problème : 116 500 rsETH non adossés ont été injectés dans la nature, créant un trou comptable que les marchés ont dû absorber en urgence.
La piste Lazarus : l’attribution à la Corée du Nord
Chainalysis a rapidement relié l’attaque au groupe Lazarus, et plus précisément à sa sous-unité TraderTraitor, deux entités liées à l’appareil étatique nord-coréen. Cette attribution n’a rien d’anodin. Lazarus est devenu le prédateur le plus prolifique de l’écosystème crypto, finançant les programmes balistiques et nucléaires de Pyongyang avec les fonds volés.
Le mode opératoire colle au profil. Là où les amateurs cherchent un bug dans une ligne de Solidity, Lazarus cible l’humain et l’infrastructure : nœuds RPC compromis, vérificateurs à point unique, ingénierie sociale. Le hack de Bybit en février 2025, qui avait coûté 1,4 milliard de dollars, suivait déjà cette logique d’attaque des processus plutôt que du code. Le groupe avait également été désigné dans le piratage de Drift Protocol, attribué à un acteur nord-coréen utilisant ingénierie sociale et fausse garantie.
Neuf adresses EOA (Externally Owned Accounts) ont servi à disperser les fonds, selon Innora.ai, qui note qu’environ 266 millions de dollars d’ether sont restés immobiles au niveau du hub à un moment donné. Cette immobilité a ouvert une fenêtre, étroite mais réelle, pour la riposte des défenseurs.
La réaction de Kelp DAO et le gel des fonds
Face à l’hémorragie, Kelp DAO a mis ses contrats en pause. Selon Chainalysis, cette décision a permis de bloquer une seconde tentative de vol portant sur environ 95 millions de dollars supplémentaires. Sans cette intervention rapide, l’ardoise aurait pu franchir la barre des 380 millions de dollars.
La contre-attaque ne s’est pas arrêtée là. Chainalysis rapporte que le Conseil de sécurité d’Arbitrum, en coordination avec les forces de l’ordre, a gelé plus de 30 000 ETH de fonds en aval appartenant à l’attaquant. Ce gel illustre une tendance de fond : les écosystèmes layer 2 et leurs structures de gouvernance disposent désormais de leviers d’intervention rapides, capables de geler des actifs avant qu’ils ne soient blanchis.
Du côté des plateformes de prêt, la réaction a été immédiate. Halborn confirme que les marchés rsETH ont été gelés sur Aave, SparkLend et Fluid pour éviter l’accumulation de créances douteuses. Ces gels protègent les déposants, mais ils figent aussi la liquidité et propagent la défiance à l’ensemble des protocoles exposés au rsETH. Les sources publiques disponibles ne précisent pas encore le montant exact récupéré ni la taille du trésor mobilisé par Kelp DAO pour indemniser les utilisateurs.
L’onde de choc sur le marché DeFi
Galaxy Research résume la situation d’une formule : l’exploit a gelé les marchés DeFi. En déposant le rsETH volé comme garantie sur Aave, Compound et Euler pour emprunter 236 millions de dollars en WETH et wstETH, l’attaquant a transféré le risque de défaut vers ces protocoles de prêt. Chaque plateforme exposée a dû évaluer en urgence l’ampleur de son exposition à un actif soudain suspect.
La pression de désendettement (deleveraging) qui s’est ensuivie a touché toute la chaîne de valeur du restaking liquide. Avec 18 % de l’offre de rsETH soudain non adossée, le risque de désancrage (depeg) était réel. Les gels de marché ont permis d’éviter une spirale de liquidations, mais au prix d’un blocage temporaire de la liquidité pour les détenteurs légitimes. Les sources disponibles ne fournissent pas de courbe de prix précise du désancrage, mais elles convergent sur un choc de confiance sévère.
L’épisode rappelle une leçon que la DeFi peine à intégrer : la composabilité, présentée comme une force, est aussi un vecteur de contagion. Un jeton compromis sur un protocole se propage instantanément à tous ceux qui l’acceptent en garantie. Le rsETH n’a pas explosé en vase clos. Il a entraîné Aave, Compound, Euler, SparkLend et Fluid dans sa chute, gelant des centaines de millions de dollars de liquidité.
KelpDAO, Drift, Bybit : le comparatif des grands hacks
Pour mesurer la place de l’exploit KelpDAO dans l’histoire récente des piratages crypto, le tableau suivant compare les principaux incidents par montant, méthode et année. Les ponts cross-chain et les infrastructures de validation y occupent une place démesurée par rapport à leur poids dans l’écosystème.
| Incident | Date | Montant | Méthode principale | Acteur présumé |
|---|---|---|---|---|
| Bybit | Février 2025 | ≈ 1,4 Md $ | Compromission du processus de signature | Lazarus (Corée du Nord) |
| Ronin Bridge | Mars 2022 | ≈ 625 M $ | Clés de validateurs compromises | Lazarus (Corée du Nord) |
| Wormhole | Février 2022 | ≈ 326 M $ | Faille de validation de signature | Non attribué |
| KelpDAO | 18 avril 2026 | ≈ 292 M $ | Message LayerZero forgé, vérificateur 1-of-1 | Lazarus / TraderTraitor |
| Drift Protocol | 1er avril 2026 | ≈ 285 M $ | Ingénierie sociale et fausse garantie | Acteur nord-coréen |
Le constat est sans appel. Quatre des cinq plus gros vols de cette liste touchent soit un pont cross-chain, soit une infrastructure de validation, et trois sur cinq portent la marque de Lazarus. La DeFi n’a pas un problème de code Solidity, elle a un problème de ponts et de processus de validation centralisés déguisés en systèmes décentralisés. Notre analyse du hack de Drift Protocol détaille un schéma d’attaque comparable, survenu seulement dix-sept jours avant KelpDAO.
Le talon d’Achille des ponts cross-chain
Les ponts inter-chaînes promettent l’interopérabilité, ce graal qui permettrait de déplacer librement la valeur entre Ethereum, Arbitrum, Solana et les dizaines d’autres réseaux. Mais cette promesse a un coût de sécurité que l’industrie sous-estime systématiquement. Un pont doit prouver qu’un événement s’est produit sur une chaîne A pour libérer des fonds sur une chaîne B. Ce mécanisme de preuve est le point faible.
LayerZero a popularisé une architecture où des DVN attestent de la validité des messages. La théorie veut que plusieurs vérificateurs indépendants se contrôlent mutuellement. La pratique, dans le cas de Kelp DAO, était une configuration 1-of-1 : un seul vérificateur. Cette divergence entre la promesse de décentralisation et la réalité de la centralisation opérationnelle est le piège récurrent des ponts.
La sécurité d’un pont se résume souvent à une question simple : combien d’entités doivent être compromises pour falsifier un message ? Quand la réponse est « une seule », le pont n’est pas plus sûr qu’un service centralisé, mais il en donne l’illusion. Les utilisateurs croient bénéficier de garanties décentralisées qui n’existent pas. Pour qui souhaite limiter cette exposition, le stockage à froid reste la parade la plus robuste, comme l’explique notre comparatif Ledger contre Trezor.
Avril 2026 : 605 millions perdus en moins de 20 jours
L’exploit KelpDAO n’est pas un accident isolé. Galaxy Research recense plus de 605 millions de dollars de pertes réparties sur plus de 12 protocoles en moins de 20 jours sur le seul mois d’avril 2026. La chronologie suivante illustre l’intensité de cette vague d’attaques.
| Protocole | Date | Perte | Vecteur |
|---|---|---|---|
| Step Finance | 31 janvier 2026 | 27,3 M $ | Compromission de clé du trésor |
| Drift Protocol | 1er avril 2026 | 285 M $ | Ingénierie sociale, fausse garantie |
| Rhea Finance | Avril 2026 | 7,6 M $ | Contrats de jetons frauduleux |
| KelpDAO | 18 avril 2026 | 292 M $ | Message LayerZero forgé |
| Total avril 2026 | Avril 2026 | 605 M $+ | 12+ protocoles touchés |
Deux attaques seulement, Drift et KelpDAO, concentrent à elles seules plus de 577 millions de dollars. Cette concentration des pertes sur quelques événements majeurs est caractéristique de 2026. Les ponts cross-chain continuent de produire les plus grosses pertes en une seule journée de toute l’histoire de la crypto, selon les données compilées par les analystes. Pour le grand public, le constat est anxiogène : les sommes en jeu dépassent désormais le budget annuel de nombreuses agences de cybersécurité.
Contexte historique : de Ronin à Bybit
L’exploit KelpDAO s’inscrit dans une lignée qui remonte au moins à 2022. En mars de cette année-là, le pont Ronin, qui sous-tendait le jeu Axie Infinity, perdait environ 625 millions de dollars après la compromission des clés de ses validateurs. Lazarus était déjà aux commandes. Quelques semaines plus tôt, Wormhole avait cédé environ 326 millions de dollars sur une faille de validation de signature.
Le fil rouge de ces quatre années est limpide : les attaquants n’attaquent plus les coffres, ils attaquent les serrures qui décident d’ouvrir les coffres. La validation cross-chain, les processus de signature, les clés de validateurs, les nœuds RPC : voilà les nouveaux champs de bataille. Le sommet de cette escalade reste la brèche de Bybit en février 2025, qui a porté sur 1,4 milliard de dollars et a redéfini l’échelle du possible pour un acteur étatique.
KelpDAO confirme que la leçon de Ronin n’a pas été retenue. Quatre ans après, un protocole gérant des centaines de millions de dollars s’appuyait encore sur un vérificateur unique. Tant que l’industrie privilégiera la vitesse de déploiement sur la robustesse de l’architecture, ces incidents se répéteront. Les attaques contre les infrastructures crypto recoupent désormais les grandes menaces analysées dans notre dossier sécurité en ligne.
Impact réglementaire : MiCA et l’étau européen
Pour l’Europe, l’exploit KelpDAO tombe à un moment charnière. Le règlement MiCA (Markets in Crypto-Assets), pleinement applicable depuis fin 2024, encadre les prestataires de services sur actifs numériques (PSAN, ou CASP en anglais). Or les protocoles DeFi purement décentralisés, comme Kelp DAO, occupent une zone grise : MiCA cible les intermédiaires identifiables, pas nécessairement les contrats autonomes.
Cette zone grise ne durera pas. La Commission européenne a déjà annoncé travailler sur l’encadrement de la DeFi, et chaque hack majeur renforce la pression politique. Le règlement TFR (Transfer of Funds Regulation), qui impose la traçabilité des transferts crypto, complique en théorie le blanchiment des fonds volés via les plateformes régulées. Le gel de 30 000 ETH par le Conseil de sécurité d’Arbitrum montre d’ailleurs que la coordination avec les forces de l’ordre s’intensifie.
Pour les investisseurs européens, le message des régulateurs est de plus en plus clair : un protocole non régulé n’offre aucun filet de sécurité. En cas de vol, aucune garantie de dépôt, aucun fonds de compensation, aucun recours simple. La protection passe par la prévention. Nos guides sur les fuites de données et sur le piratage du module Safe de Gnosis Pay rappellent à quel point la surface d’attaque s’est élargie en 2026.
Ce que disent les experts en sécurité
Les principaux cabinets de sécurité ayant disséqué l’incident convergent sur un point : ce n’est pas le code qui a lâché, c’est l’architecture de confiance. Chainalysis, dans son rapport du 23 avril 2026, insiste sur le caractère hors chaîne de l’attaque : « L’exploit a ciblé l’infrastructure hors chaîne plutôt qu’un bug de contrat intelligent », en s’appuyant sur des nœuds RPC internes compromis et un DDoS contre les nœuds externes.
Halborn, dans son analyse du 20 avril, désigne sans détour le coupable structurel : la configuration de vérificateur 1-of-1, un point de défaillance unique pour un protocole gérant des centaines de millions de dollars. Le cabinet souligne aussi que les 116 500 rsETH volés représentaient environ 18 % de l’offre en circulation, un seuil critique pour la stabilité de l’actif.
Galaxy Research, dans sa note du 22 avril, replace l’événement dans la perspective la plus large : il s’agit du plus gros exploit crypto depuis la brèche Bybit de 1,4 milliard de dollars en février 2025, et le post-mortem de LayerZero pointe un empoisonnement RPC, ni vol de clé ni bug de protocole. DefiPrime, enfin, a fourni la preuve transactionnelle la plus granulaire, en remontant jusqu’aux adresses du contrat EndpointV2 et de l’adaptateur OFT impliqués. Ces analyses, publiées en quelques jours, témoignent d’une maturité croissante de la forensique on-chain.
Cinq prédictions pour l’après-KelpDAO
L’exploit KelpDAO ne sera pas sans suite. Voici cinq évolutions probables pour les douze à dix-huit prochains mois.
- La fin des vérificateurs uniques. Les configurations 1-of-1 vont devenir un signal d’alarme rédhibitoire. Les protocoles sérieux migreront vers des seuils multi-DVN (par exemple 3-of-5) et le publieront comme argument commercial.
- L’audit d’infrastructure deviendra standard. L’audit du code intelligent ne suffit plus. Les cabinets élargiront leur périmètre aux nœuds RPC, aux DVN et aux processus de validation hors chaîne.
- L’Europe accélérera l’encadrement de la DeFi. Chaque hack à neuf chiffres rapproche la Commission d’une extension de MiCA aux protocoles décentralisés, malgré les difficultés de mise en œuvre.
- Lazarus restera la menace dominante. Tant que le vol crypto financera Pyongyang, le groupe continuera de cibler ponts et infrastructures, avec des montants annuels qui se chiffreront en milliards.
- Le restaking liquide subira un examen de confiance. Les jetons composables comme rsETH verront leur acceptation comme garantie scrutée de près par Aave, Compound et leurs concurrents, avec des plafonds d’exposition plus stricts.
Comment protéger ses actifs après l’exploit
Pour l’investisseur particulier, l’exploit KelpDAO offre des leçons concrètes. La première : comprendre que déposer un actif dans un protocole DeFi, c’est faire confiance à toute sa chaîne d’infrastructure, ponts compris. La deuxième : diversifier l’exposition et éviter de concentrer ses fonds dans un seul protocole composable.
Quelques réflexes réduisent fortement le risque. Privilégier le stockage à froid pour les montants importants. Vérifier la configuration de sécurité d’un pont avant d’y transférer des fonds (combien de vérificateurs, quel seuil de validation ?). Se méfier des rendements anormalement élevés, souvent corrélés à une prise de risque cachée. Et surveiller les annonces des cabinets comme Chainalysis ou Halborn, dont les rapports signalent les protocoles compromis en temps quasi réel.
La sécurité commence aussi par les fondamentaux : phrases de récupération hors ligne, authentification forte, vigilance face à l’hameçonnage. Aucun protocole, aussi audité soit-il, ne remplace une hygiène de sécurité personnelle rigoureuse.
Related Coverage
- Hack Drift Protocol : 285 M$ volés en 12 minutes
- Gnosis Pay piraté : 265 000 $ via un module Safe
- Ledger vs Trezor : le verdict sur le stockage à froid
- Fuites de données : comment elles surviennent
- Sécurité en ligne : protéger ses données et ses comptes
- Signal vs WhatsApp vs Telegram
Questions fréquentes sur l’exploit KelpDAO
Combien Kelp DAO a-t-il perdu lors du piratage ?
Environ 292 millions de dollars, soit 116 500 rsETH, ont été dérobés le 18 avril 2026. Une seconde tentative portant sur environ 95 millions de dollars a été bloquée grâce à la mise en pause des contrats.
Comment l’attaque a-t-elle fonctionné techniquement ?
L’attaquant a forgé un message cross-chain validé par un vérificateur unique (configuration 1-of-1) du pont LayerZero. En empoisonnant les nœuds RPC et en lançant un DDoS sur les nœuds externes, il a fait libérer 116 500 rsETH non adossés par l’adaptateur OFT côté Ethereum.
Qui est derrière l’exploit ?
Chainalysis a attribué l’attaque au groupe Lazarus et à sa sous-unité TraderTraitor, liés à la Corée du Nord. C’est le même acteur qui avait orchestré le vol de 1,4 milliard de dollars chez Bybit en février 2025.
Les fonds des utilisateurs étaient-ils en sécurité ?
Les contrats de restaking et les délégations EigenLayer sont restés intacts. Le problème venait du pont, pas de l’adossement du rsETH sur le réseau principal. Les marchés rsETH ont toutefois été gelés sur Aave, SparkLend et Fluid pour limiter les créances douteuses.
Une partie des fonds a-t-elle été récupérée ?
Le Conseil de sécurité d’Arbitrum, avec les forces de l’ordre, a gelé plus de 30 000 ETH de fonds en aval de l’attaquant. Le montant total finalement récupéré n’a pas encore été communiqué publiquement.
Le rsETH est-il encore sûr ?
L’adossement fondamental du rsETH n’a pas été compromis, mais l’injection de 18 % de jetons non adossés a créé un choc de confiance. Les plafonds d’exposition et la surveillance des marchés ont été renforcés depuis. Comme pour tout actif DeFi, la prudence et la diversification restent de mise.
Quel est le rapport avec la réglementation européenne ?
Les protocoles DeFi purement décentralisés occupent encore une zone grise dans MiCA, qui cible les prestataires identifiables. Chaque hack majeur renforce la pression pour étendre l’encadrement, tandis que le règlement TFR vise à tracer les transferts et à compliquer le blanchiment.
Sources externes : Chainalysis, Halborn, Galaxy Research, LayerZero, EigenLayer. Article publié le 13 juin 2026.
