Le 18 avril 2026 à 17h35 (UTC), un attaquant a exploité le pont inter-chaînes rsETH de KelpDAO, basé sur LayerZero, détournant 116 500 rsETH — soit environ 292 millions de dollars — en seulement 46 minutes. L’élément clé de cette attaque réside dans le fait que le pirate n’a pas liquidé ces actifs airdropés directement sur les marchés secondaires — la liquidité rsETH était bien trop faible pour permettre une vente massive. À la place, l’attaquant a déposé les jetons volés en garantie sur des protocoles de prêt majeurs tels que Aave V3, Compound V3 et Euler, empruntant environ 236 millions de dollars en WETH/ETH réels.
Cette attaque ne provient pas d’une faille classique dans un smart contract, mais d’une mauvaise configuration au niveau des paramètres de déploiement. L’implémentation cross-chain LayerZero V2 de KelpDAO utilisait un schéma DVN (Decentralized Verification Network) 1/1 — signifiant qu’un seul nœud validateur pouvait approuver les messages inter-chaînes. Une fois ce nœud DVN compromis, l’attaquant a pu forger des messages inter-chaînes arbitraires, "créant" ainsi des jetons à partir de rien. Plus préoccupant encore, selon Dune Analytics, 47 % des OApps LayerZero utilisaient à l’époque la même configuration DVN 1/1, exposant plus de 4,5 milliards de dollars d’actifs à un risque similaire. L’incident KelpDAO révèle donc non seulement un problème isolé, mais une faille structurelle affectant l’ensemble de l’infrastructure cross-chain.
Déroulement de la réaction en chaîne : du prêt collatéralisé à la dette irrécouvrable
Après avoir déposé les rsETH forgés sur plusieurs protocoles de prêt, Aave V3 s’est retrouvé le plus exposé. Les données on-chain montrent qu’environ 89 567 rsETH (soit près de 221 millions de dollars) ont servi de collatéral sur Aave, générant des prêts d’environ 82 650 WETH (environ 191 millions de dollars). Comme les rsETH en question ont été créés de toutes pièces, une fois utilisés comme garantie, la totalité du prêt ne reposait plus sur une base de liquidation légitime.
Cependant, il convient de préciser que le code d’Aave n’a pas été compromis. La logique de prêt du protocole a continué à fonctionner normalement — le problème provenait de la valeur sous-jacente du collatéral. Après la compromission du pont inter-chaînes, la garantie réelle de ces rsETH s’est évaporée. Aave a immédiatement gelé tous les marchés liés au rsETH, ramené le ratio prêt/valeur (LTV) à zéro et procédé à des ajustements d’urgence de son modèle de taux d’intérêt. Mais à ce stade, la dette irrécouvrable était déjà actée. Selon un rapport d’incident du prestataire de services Aave et cabinet de gestion des risques LlamaRisk, en fonction du scénario de répartition des pertes, Aave fait face à une dette comprise entre 124 et 230 millions de dollars. Le chiffre de 200 millions de dollars, souvent cité, correspond à la perte nette centrale de l’incident.
Pourquoi les vulnérabilités de validation à point unique constituent un angle mort structurel pour la sécurité du secteur
La différence majeure entre l’incident KelpDAO et d’autres brèches de sécurité DeFi réside dans l’absence de faille dans le code source. Le problème ne se situait pas dans les fichiers .sol, mais dans un paramètre de déploiement — le seuil DVN — défini lors de l’implémentation du protocole. Ce paramètre échappe à l’analyse des outils de vérification statique tels que Slither ou Mythril, efficaces pour détecter des schémas de code connus comme les attaques par réentrance, mais quasiment inutiles pour les risques liés à la configuration. Lorsque l’audit de smart contracts se concentre uniquement sur la correction du code, les paramètres de déploiement comme la configuration DVN deviennent une zone rouge dans la matrice de sécurité.
La philosophie de LayerZero V2 délègue les décisions de sécurité à la couche applicative. En théorie, cela offre une grande flexibilité, mais en pratique, les projets optent souvent pour le mode extrême 1/1 par souci de simplicité. Dès lors que les mécanismes de sécurité deviennent "configurables", les limites de l’audit s’étendent. L’incident KelpDAO met en lumière une contradiction centrale : les protocoles cross-chain offrent des capacités multi-validateurs, mais les projets renoncent fréquemment à ces protections redondantes pour gagner en simplicité. À ce jour, le secteur ne dispose pas d’un processus standardisé de revue de sécurité des configurations pour combler cette lacune.
Comment la panique des marchés et les retraits de liquidité se sont amplifiés
Dès l’annonce de l’incident, la panique s’est rapidement traduite par une fuite massive de capitaux. Au 27 avril 2026, selon les données du marché Gate, les tokens liés à l’événement ont connu une forte volatilité, et le secteur DeFi dans son ensemble a été sous pression. Dans les 48 heures suivant l’attaque, Aave a enregistré des sorties nettes de dépôts d’environ 8,45 milliards de dollars, son TVL chutant de près de 26,4 milliards à 17,9 milliards de dollars. À l’échelle de l’écosystème DeFi, la valeur totale verrouillée (TVL) a diminué d’environ 13,21 milliards de dollars sur la même période, passant d’environ 99,5 milliards à 86,3 milliards de dollars.
Il est important de souligner qu’une baisse du TVL ne signifie pas une perte équivalente d’actifs. Certaines analyses montrent qu’une part significative des sorties provient de liquidations en cascade de positions fortement levierisées et de retraits prudents d’institutions, et non de la "destruction" de tous les actifs. Néanmoins, le choc a révélé un problème plus profond : lorsque le pool principal d’un protocole de prêt de référence est vidé et que l’utilisation du capital approche les 100 %, les demandes de retrait des utilisateurs classiques ne peuvent plus être satisfaites. Cette fois, Aave n’était pas à l’origine du risque, mais en raison de la forte proportion de rsETH en collatéral, il s’est retrouvé au cœur de la crise.
Traçage du parcours de blanchiment de l’attaquant et détails techniques de l’action de gel d’Arbitrum
Après avoir exploité la faille de KelpDAO, l’attaquant a rapidement cherché à dissimuler les fonds volés via plusieurs couches. Les fonds initiaux provenaient de Tornado Cash, l’attaquant ayant reçu 1 ETH du mixeur environ 10 heures avant l’incident. Après le vol, les fonds ont transité par divers protocoles de prêt, puis ont été déplacés via des canaux inter-chaînes.
Le 20 avril, le Security Council d’Arbitrum a exercé ses pouvoirs d’urgence, identifiant environ 30 765 ETH (alors évalués à 71,5 millions de dollars) détenus par l’attaquant et procédant à une opération technique pour transférer et geler ces actifs sur une adresse sécurisée. Cette intervention marque une étape importante dans le traçage on-chain : elle démontre que les conseils de sécurité de réseaux Layer 2 peuvent, dans certaines conditions, intervenir sur les mouvements de fonds. L’attaquant a réagi rapidement — quelques heures après le gel, environ 75 700 ETH (environ 175 millions de dollars) ont été dispersés vers deux nouveaux portefeuilles. D’autres analyses on-chain ont montré qu’environ 1,5 million de dollars issus du vol avaient été transférés d’Ethereum vers Bitcoin via Thorchain, d’autres fonds ayant été masqués grâce à des outils de confidentialité comme Umbra. Cela montre que l’attaquant cherchait à extraire totalement les fonds volés de l’écosystème traçable d’Ethereum.
Reprise communautaire et gestion de la dette de 200 millions de dollars d’Aave
Face à un déficit d’environ 200 millions de dollars, le fondateur d’Aave a lancé la création d’un fonds de soutien sectoriel baptisé DeFi United. Au 26 avril, selon Arkham, DeFi United avait levé plus de 160 millions de dollars, couvrant près de 80 % du besoin de financement. Les principaux contributeurs sont les communautés Mantle et Aave, qui ont conjointement fait don de 55 000 ETH — soit environ 127 millions de dollars à l’époque.
Le fondateur d’Aave, Stani Kulechov, a personnellement donné 5 000 ETH. Des institutions telles que Golem Foundation, Ether.fi et Lido DAO se sont également engagées à apporter leur soutien. Plus important encore, Aave Labs, aux côtés de Kelp DAO, LayerZero, Ether.fi, Compound et d’autres protocoles majeurs, ont soumis une proposition constitutionnelle à l’Arbitrum DAO pour débloquer les 30 765 ETH gelés (environ 71,5 millions de dollars) et les injecter dans le fonds de soutien DeFi United. Si toutes les contributions sont confirmées, la taille totale de DeFi United dépassera 236 millions de dollars, de quoi couvrir intégralement la dette actuelle.
Il convient de noter que ce processus de gouvernance devrait durer environ 49 jours, et que plusieurs engagements importants nécessitent encore un vote de la DAO — l’issue reste donc incertaine.
Le paradoxe de la sécurité cross-chain et de la gouvernance de la finance décentralisée
L’incident KelpDAO a suscité une réflexion approfondie dans le secteur : la sécurité des ponts inter-chaînes demeure un problème structurel difficile à résoudre complètement. Avant l’attaque, jusqu’à 47 % des applications décentralisées intégrant LayerZero utilisaient la configuration DVN 1/1. Ce choix n’était pas propre à KelpDAO, mais reflète un biais systémique de l’écosystème en faveur de la simplicité au détriment de la redondance sécuritaire. Dans les scénarios cross-chain, la confiance ne repose plus uniquement sur le code des smart contracts, mais aussi sur les paramètres de déploiement et la sécurité opérationnelle des réseaux de nœuds validateurs — des facteurs souvent hors de portée des audits traditionnels.
Parallèlement, le gel des actifs par le Security Council d’Arbitrum met en lumière un paradoxe de longue date : lorsqu’un réseau Layer 2 dit "décentralisé" dispose des moyens techniques d’intervenir — autrement dit, d’un "backdoor" au niveau du code — en quoi diffère-t-il d’un dépositaire centralisé ? Si les actifs des utilisateurs peuvent être bloqués on-chain par un conseil de sécurité, la promesse de "trustless" propre à la finance décentralisée est fondamentalement remise en question.
Cet incident n’est plus une simple crise de sécurité isolée, mais un test de résistance collectif pour les fondations institutionnelles de la DeFi.
Conclusion
Le piratage de KelpDAO constitue à ce jour le plus important incident de sécurité DeFi de 2026, avec des pertes avoisinant les 292 millions de dollars. Mais ses répercussions vont bien au-delà : Aave a vu 8,45 milliards de dollars de dépôts retirés en 48 heures, et le TVL de l’ensemble de la DeFi a chuté de plus de 13 milliards de dollars. La cause première n’était pas un bug de smart contract, mais une mauvaise configuration de validation à point unique sur le pont inter-chaînes — une vulnérabilité encore présente dans de nombreux protocoles du secteur.
Grâce à la création du fonds de soutien DeFi United, Aave a déjà levé plus de 160 millions de dollars, couvrant près de 80 % de la dette, et s’est associé à cinq protocoles majeurs pour soumettre une proposition constitutionnelle à l’Arbitrum DAO visant à débloquer les actifs gelés. Au 27 avril 2026, DeFi United attend toujours l’issue de plusieurs votes de gouvernance. Quelle que soit la manière dont la dette de 200 millions de dollars sera résolue, l’incident KelpDAO marque un tournant pour la DeFi, symbolisant le passage du "code is law" à "la gouvernance comme protection".
Foire aux questions (FAQ)
Q : Quelle était la faille fondamentale lors de l’attaque KelpDAO ?
Le problème principal ne venait pas d’un bug de smart contract, mais d’une erreur de configuration DVN dans la solution cross-chain LayerZero. KelpDAO utilisait un schéma à validateur unique (1/1), si bien qu’une fois ce nœud compromis, l’attaquant pouvait forger des messages inter-chaînes et créer des rsETH à partir de rien. Il s’agit d’un événement de sécurité systémique dû à la défaillance du modèle de confiance cross-chain, combinée à une erreur de configuration.
Q : Combien Aave a-t-il réellement perdu lors de l’incident ?
Aave n’a pas été attaqué directement, mais comme le rsETH servait de collatéral, l’attaquant a pu emprunter d’importantes quantités de WETH. Selon la répartition des pertes, la dette irrécouvrable d’Aave est estimée entre 124 et 230 millions de dollars, le chiffre de référence étant d’environ 200 millions. Au 27 avril, DeFi United avait levé plus de 160 millions de dollars, couvrant près de 80 % du déficit.
Q : Les fonds volés peuvent-ils être récupérés ?
Une partie des fonds a été gelée. Le Security Council d’Arbitrum a réussi à bloquer environ 30 765 ETH (environ 71,5 millions de dollars) détenus par l’attaquant, mais celui-ci a déjà déplacé près de 75 700 ETH vers de nouveaux portefeuilles et transféré des fonds vers le réseau Bitcoin via Thorchain et d’autres outils, rendant la récupération plus complexe.
Q : Les autres protocoles utilisant LayerZero sont-ils sûrs ?
Pas nécessairement. Selon Dune Analytics, avant l’attaque KelpDAO, 47 % des OApps LayerZero utilisaient la même configuration DVN 1/1, soit plus de 4,5 milliards de dollars d’actifs concernés. Chaque protocole doit réexaminer sa configuration DVN, et le secteur s’oriente vers une migration des schémas à validateur unique vers des configurations multi-validateurs.
