Le 18 avril 2026 \u00e0 17h35 UTC, dans le bloc Ethereum 24 908 285, un seul message falsifi\u00e9 a suffi. En une transaction, un attaquant a extrait 116 500 rsETH du pont LayerZero de Kelp DAO, soit environ 292 millions de dollars. Le protocole de restaking liquide venait de subir le plus gros piratage DeFi de l’ann\u00e9e 2026, d\u00e9passant de quelques millions le hack de Drift Protocol survenu dix-sept jours plus t\u00f4t. Plus inqui\u00e9tant encore : aucun bug dans le code des contrats intelligents n’\u00e9tait en cause. La faille se trouvait dans l’infrastructure hors cha\u00eene, l\u00e0 o\u00f9 presque personne ne regardait.<\/p>\n\n\n\n
Cet exploit du pont KelpDAO marque un tournant pour la finance d\u00e9centralis\u00e9e europ\u00e9enne et mondiale. Il combine une architecture de v\u00e9rification \u00e0 point de d\u00e9faillance unique, une attaque par empoisonnement de n\u0153uds RPC et la signature d\u00e9sormais famili\u00e8re du groupe Lazarus, li\u00e9 \u00e0 la Cor\u00e9e du Nord. Voici l’analyse compl\u00e8te des faits, des m\u00e9canismes techniques, de l’impact sur le march\u00e9 et des cons\u00e9quences r\u00e9glementaires en Europe.<\/p>\n\n\n\n
Les chiffres donnent le vertige. L’attaquant a fait sortir 116 500 rsETH du contrat de s\u00e9questre de Kelp DAO, une valeur estim\u00e9e \u00e0 292 millions de dollars au moment des faits. Selon l’analyse de la soci\u00e9t\u00e9 forensique Innora.ai, l’op\u00e9ration s’est d\u00e9roul\u00e9e en une seule transaction horodat\u00e9e au 18 avril 2026 \u00e0 17h35 UTC, dans le bloc Ethereum 24 908 285. Le piratage a imm\u00e9diatement \u00e9clips\u00e9 celui de Drift Protocol, qui avait co\u00fbt\u00e9 285 millions de dollars le 1er avril 2026.<\/p>\n\n\n\n
Le volume de jetons d\u00e9rob\u00e9s repr\u00e9sentait environ 18 % de l’offre totale de rsETH en circulation, d’apr\u00e8s le cabinet de s\u00e9curit\u00e9 Halborn. Une telle proportion suffit \u00e0 d\u00e9stabiliser un actif et \u00e0 menacer son ancrage \u00e0 l’ether. Mais l’attaquant ne s’est pas content\u00e9 de fuir avec les jetons. Selon Galaxy Research, il a d\u00e9pos\u00e9 le rsETH vol\u00e9 comme garantie sur Aave, Compound et Euler, puis a emprunt\u00e9 environ 236 millions de dollars en WETH et wstETH, transformant des jetons non adoss\u00e9s en actifs imm\u00e9diatement liquides.<\/p>\n\n\n\n
Pour comprendre l’ampleur du choc, il faut situer l’\u00e9v\u00e9nement dans son contexte. La soci\u00e9t\u00e9 Chainalysis a qualifi\u00e9 cet exploit du plus important vol li\u00e9 aux cryptomonnaies depuis la br\u00e8che de Bybit en f\u00e9vrier 2025, qui avait port\u00e9 sur 1,4 milliard de dollars. KelpDAO ne joue pas dans la m\u00eame cat\u00e9gorie que Bybit, mais 292 millions de dollars envol\u00e9s en quelques secondes rappellent brutalement que la DeFi reste un terrain de chasse privil\u00e9gi\u00e9 pour les acteurs \u00e9tatiques.<\/p>\n\n\n\n
Le c\u0153ur du probl\u00e8me ne r\u00e9sidait pas dans les contrats de restaking de Kelp DAO, qui sont rest\u00e9s intacts. La vuln\u00e9rabilit\u00e9 se logeait dans le pont cross-chain reposant sur LayerZero, plus pr\u00e9cis\u00e9ment dans son m\u00e9canisme de v\u00e9rification des messages inter-cha\u00eenes. L’attaquant a forg\u00e9 un message qui a fait croire \u00e0 l’adaptateur OFT (Omnichain Fungible Token) du rsETH, c\u00f4t\u00e9 Ethereum, qu’un \u00e9v\u00e9nement l\u00e9gitime de destruction de jetons avait eu lieu sur la cha\u00eene source.<\/p>\n\n\n\n
Selon les d\u00e9tails transactionnels publi\u00e9s par DefiPrime, le message falsifi\u00e9 a atterri sur le contrat EndpointV2 de LayerZero (adresse 0x1a44076050125825900e736c501f859c50fE728c), avant d’\u00eatre transmis \u00e0 l’adaptateur OFT du rsETH (0x85d456B2DfF1fd8245387C0BfB64Dfb700e98Ef3). Ce dernier a alors lib\u00e9r\u00e9 116 500 rsETH du s\u00e9questre. En clair, le pont a cru qu’une autorisation de lib\u00e9ration avait \u00e9t\u00e9 \u00e9mise sur la cha\u00eene source, et il a d\u00e9verrouill\u00e9 des jetons qui n’\u00e9taient adoss\u00e9s \u00e0 aucune destruction r\u00e9elle.<\/p>\n\n\n\n
La cause racine, identifi\u00e9e par Halborn, tient en une expression technique lourde de cons\u00e9quences : une configuration de v\u00e9rificateur 1-of-1. Le pont reposait sur un unique DVN (Decentralized Verifier Network) pour valider l’authenticit\u00e9 des messages. Un seul v\u00e9rificateur, donc un seul point de d\u00e9faillance. Quand ce point unique a \u00e9t\u00e9 dup\u00e9, plus rien ne s’opposait au pillage. Pour un protocole g\u00e9rant des centaines de millions de dollars, ce choix d’architecture rel\u00e8ve de la faute structurelle.<\/p>\n\n\n\n
Comment l’attaquant a-t-il r\u00e9ussi \u00e0 tromper ce v\u00e9rificateur unique ? Chainalysis d\u00e9crit une attaque visant l’infrastructure hors cha\u00eene plut\u00f4t que le code. Les assaillants ont compromis des n\u0153uds RPC internes et lanc\u00e9 en parall\u00e8le une attaque par d\u00e9ni de service distribu\u00e9 (DDoS) contre les n\u0153uds externes. Priv\u00e9 de ses sources d’information fiables, le DVN s’est retrouv\u00e9 \u00e0 consommer des donn\u00e9es empoisonn\u00e9es.<\/p>\n\n\n\n
Galaxy Research confirme cette lecture : le post-mortem de LayerZero a identifi\u00e9 un empoisonnement RPC, et non un vol de cl\u00e9 priv\u00e9e, une ing\u00e9nierie sociale ou un bug de protocole. Cette nuance est capitale. Elle signifie que l’audit du code intelligent, sur lequel l’industrie a tant investi, n’aurait rien d\u00e9tect\u00e9. La menace s’est d\u00e9plac\u00e9e vers les couches d’infrastructure que les auditeurs traditionnels couvrent rarement.<\/p>\n\n\n\n
Kelp DAO est un protocole de restaking liquide b\u00e2ti sur le mod\u00e8le d’EigenLayer. Le principe : un utilisateur d\u00e9pose de l’ether, qui est restak\u00e9 pour s\u00e9curiser des services tiers, et re\u00e7oit en \u00e9change un jeton liquide, le rsETH, repr\u00e9sentant sa cr\u00e9ance sur les actifs restak\u00e9s et leurs r\u00e9compenses. Ce rsETH peut ensuite circuler librement dans l’\u00e9cosyst\u00e8me DeFi, servir de garantie pour emprunter ou \u00eatre \u00e9chang\u00e9 sur les march\u00e9s.<\/p>\n\n\n\n
C’est pr\u00e9cis\u00e9ment cette composabilit\u00e9 qui a amplifi\u00e9 les d\u00e9g\u00e2ts. DefiPrime souligne que les contrats de restaking n’ont pas failli et que les d\u00e9l\u00e9gations EigenLayer sont rest\u00e9es intactes. L’adossement r\u00e9el du rsETH d\u00e9pos\u00e9 sur le r\u00e9seau principal n’a jamais \u00e9t\u00e9 compromis. Le probl\u00e8me : 116 500 rsETH non adoss\u00e9s ont \u00e9t\u00e9 inject\u00e9s dans la nature, cr\u00e9ant un trou comptable que les march\u00e9s ont d\u00fb absorber en urgence.<\/p>\n\n\n\n
Chainalysis a rapidement reli\u00e9 l’attaque au groupe Lazarus, et plus pr\u00e9cis\u00e9ment \u00e0 sa sous-unit\u00e9 TraderTraitor, deux entit\u00e9s li\u00e9es \u00e0 l’appareil \u00e9tatique nord-cor\u00e9en. Cette attribution n’a rien d’anodin. Lazarus est devenu le pr\u00e9dateur le plus prolifique de l’\u00e9cosyst\u00e8me crypto, finan\u00e7ant les programmes balistiques et nucl\u00e9aires de Pyongyang avec les fonds vol\u00e9s.<\/p>\n\n\n\n
Le mode op\u00e9ratoire colle au profil. L\u00e0 o\u00f9 les amateurs cherchent un bug dans une ligne de Solidity, Lazarus cible l’humain et l’infrastructure : n\u0153uds RPC compromis, v\u00e9rificateurs \u00e0 point unique, ing\u00e9nierie sociale. Le hack de Bybit en f\u00e9vrier 2025, qui avait co\u00fbt\u00e9 1,4 milliard de dollars, suivait d\u00e9j\u00e0 cette logique d’attaque des processus plut\u00f4t que du code. Le groupe avait \u00e9galement \u00e9t\u00e9 d\u00e9sign\u00e9 dans le piratage de Drift Protocol, attribu\u00e9 \u00e0 un acteur nord-cor\u00e9en utilisant ing\u00e9nierie sociale et fausse garantie.<\/p>\n\n\n\n
Neuf adresses EOA (Externally Owned Accounts) ont servi \u00e0 disperser les fonds, selon Innora.ai, qui note qu’environ 266 millions de dollars d’ether sont rest\u00e9s immobiles au niveau du hub \u00e0 un moment donn\u00e9. Cette immobilit\u00e9 a ouvert une fen\u00eatre, \u00e9troite mais r\u00e9elle, pour la riposte des d\u00e9fenseurs.<\/p>\n\n\n\n
Face \u00e0 l’h\u00e9morragie, Kelp DAO a mis ses contrats en pause. Selon Chainalysis, cette d\u00e9cision a permis de bloquer une seconde tentative de vol portant sur environ 95 millions de dollars suppl\u00e9mentaires. Sans cette intervention rapide, l’ardoise aurait pu franchir la barre des 380 millions de dollars.<\/p>\n\n\n\n
La contre-attaque ne s’est pas arr\u00eat\u00e9e l\u00e0. Chainalysis rapporte que le Conseil de s\u00e9curit\u00e9 d’Arbitrum, en coordination avec les forces de l’ordre, a gel\u00e9 plus de 30 000 ETH de fonds en aval appartenant \u00e0 l’attaquant. Ce gel illustre une tendance de fond : les \u00e9cosyst\u00e8mes layer 2 et leurs structures de gouvernance disposent d\u00e9sormais de leviers d’intervention rapides, capables de geler des actifs avant qu’ils ne soient blanchis.<\/p>\n\n\n\n
Du c\u00f4t\u00e9 des plateformes de pr\u00eat, la r\u00e9action a \u00e9t\u00e9 imm\u00e9diate. Halborn confirme que les march\u00e9s rsETH ont \u00e9t\u00e9 gel\u00e9s sur Aave, SparkLend et Fluid pour \u00e9viter l’accumulation de cr\u00e9ances douteuses. Ces gels prot\u00e8gent les d\u00e9posants, mais ils figent aussi la liquidit\u00e9 et propagent la d\u00e9fiance \u00e0 l’ensemble des protocoles expos\u00e9s au rsETH. Les sources publiques disponibles ne pr\u00e9cisent pas encore le montant exact r\u00e9cup\u00e9r\u00e9 ni la taille du tr\u00e9sor mobilis\u00e9 par Kelp DAO pour indemniser les utilisateurs.<\/p>\n\n\n\n
Galaxy Research r\u00e9sume la situation d’une formule : l’exploit a gel\u00e9 les march\u00e9s DeFi. En d\u00e9posant le rsETH vol\u00e9 comme garantie sur Aave, Compound et Euler pour emprunter 236 millions de dollars en WETH et wstETH, l’attaquant a transf\u00e9r\u00e9 le risque de d\u00e9faut vers ces protocoles de pr\u00eat. Chaque plateforme expos\u00e9e a d\u00fb \u00e9valuer en urgence l’ampleur de son exposition \u00e0 un actif soudain suspect.<\/p>\n\n\n\n
La pression de d\u00e9sendettement (deleveraging) qui s’est ensuivie a touch\u00e9 toute la cha\u00eene de valeur du restaking liquide. Avec 18 % de l’offre de rsETH soudain non adoss\u00e9e, le risque de d\u00e9sancrage (depeg) \u00e9tait r\u00e9el. Les gels de march\u00e9 ont permis d’\u00e9viter une spirale de liquidations, mais au prix d’un blocage temporaire de la liquidit\u00e9 pour les d\u00e9tenteurs l\u00e9gitimes. Les sources disponibles ne fournissent pas de courbe de prix pr\u00e9cise du d\u00e9sancrage, mais elles convergent sur un choc de confiance s\u00e9v\u00e8re.<\/p>\n\n\n\n
L’\u00e9pisode rappelle une le\u00e7on que la DeFi peine \u00e0 int\u00e9grer : la composabilit\u00e9, pr\u00e9sent\u00e9e comme une force, est aussi un vecteur de contagion. Un jeton compromis sur un protocole se propage instantan\u00e9ment \u00e0 tous ceux qui l’acceptent en garantie. Le rsETH n’a pas explos\u00e9 en vase clos. Il a entra\u00een\u00e9 Aave, Compound, Euler, SparkLend et Fluid dans sa chute, gelant des centaines de millions de dollars de liquidit\u00e9.<\/p>\n\n\n\n
Pour mesurer la place de l’exploit KelpDAO dans l’histoire r\u00e9cente des piratages crypto, le tableau suivant compare les principaux incidents par montant, m\u00e9thode et ann\u00e9e. Les ponts cross-chain et les infrastructures de validation y occupent une place d\u00e9mesur\u00e9e par rapport \u00e0 leur poids dans l’\u00e9cosyst\u00e8me.<\/p>\n\n\n\n