KelpDAO volé sonne l'alarme de la sécurité DeFi Quelles leçons en tirer

Shaw.ai, Finance en or

18 avril, le monde de la cryptomonnaie a connu l’incident de sécurité DeFi (Finance Décentralisée) le plus grave depuis 2026 — l’attaque du pont cross-chain rsETH de KelpDAO. En quelques heures seulement, environ 116 500 rsETH ont été volés, d’une valeur estimée à 290 millions de dollars au prix du moment, représentant 18 % de l’offre totale de rsETH. Cette attaque a non seulement mis KelpDAO en crise, mais a aussi déclenché une panique de liquidité dans tout le secteur DeFi, entraînant même la plateforme de prêt de premier plan Aave dans la tourmente, avec plus de 9 milliards de dollars de dépôts retirés en urgence, ce qui équivaut à une catastrophe de type « tsunami financier » en termes de sécurité.

Beaucoup de gens peuvent ne pas connaître les termes « pont cross-chain », « rsETH » ou « run sur la liquidité », ne vous inquiétez pas, nous allons utiliser un langage simple pour reconstituer étape par étape le déroulement de cette attaque, puis discuter des dernières avancées et des questions qui intéressent tout le monde.

I. Comprendre 3 concepts clés pour saisir facilement l’événement

Avant de parler du processus d’attaque, clarifions 3 termes essentiels, sinon il est facile de s’y perdre :

• rsETH : simplement, c’est un « token dérivé de l’ETH ». On sait que l’ETH (Ethereum) peut être « mis en staking » pour gagner des intérêts, mais en le faisant, les fonds sont verrouillés et ne peuvent pas être utilisés à tout moment. rsETH est un token qui « emballe » l’ETH staké. Posséder du rsETH, c’est comme détenir une part de propriété sur ces ETH stakés, ce qui permet de gagner des intérêts, tout en pouvant échanger ou utiliser comme garantie à tout moment — un peu comme un « bon d’échange pour ETH staké ».

• Pont cross-chain : différentes blockchains (par exemple Ethereum, BSC) sont comme différentes « banques », et le pont cross-chain est le « canal de transfert » qui relie ces « banques », permettant à des tokens comme rsETH de circuler entre différentes blockchains. L’attaque visait le pont cross-chain rsETH construit par KelpDAO sur la plateforme LayerZero.

• Module DVN de LayerZero : on peut le voir comme le « contrôleur de sécurité » du pont cross-chain, chargé de vérifier la véracité des transactions inter-chaînes — par exemple, confirmer que vous avez bien transféré des tokens sur la chaîne A avant d’en délivrer sur la chaîne B. Normalement, pour la sécurité, plusieurs « contrôleurs » (validateurs multiples) vérifient la transaction, mais KelpDAO n’en a configuré qu’un seul (« validateur unique »), ce qui a permis à un hacker de profiter de cette faiblesse.

II. Déroulement de l’attaque : 3 étapes pour voler 290 millions de dollars, une opération « modèle »

L’attaque était très discrète et efficace, elle a été réalisée en moins d’une heure, avec des étapes précises et ciblées, en 3 phases :

Étape 1 : Exploiter la faille, « créer de l’argent à partir de rien »

Le hacker a identifié une faille critique dans le pont cross-chain de KelpDAO — la dépendance à un seul validateur DVN de LayerZero. Normalement, la création de rsETH nécessite une ETH réellement stakée comme support, mais le hacker a falsifié les messages de validation des transactions cross-chain, trompant ce seul « contrôleur ».

Plus précisément, le hacker a infiltré à l’avance le nœud RPC dépendant du DVN de LayerZero, a remplacé le logiciel du nœud, et a lancé une attaque DDoS pour faire tomber le nœud normal, forçant le « contrôleur » à ne plus faire confiance qu’au nœud compromis. Ainsi, le hacker a réussi à « créer » 116 500 rsETH sans aucune ETH réelle en garantie, comme s’il avait un faux « bon d’échange pour ETH staké », trompant tout le monde.

Étape 2 : Prêter en empruntant, « faire du faux semblant »

Avec ces rsETH falsifiés, le hacker n’a pas vendu directement pour éviter d’être repéré, mais a préféré une méthode plus discrète : utiliser des plateformes de prêt pour emprunter de l’argent. Il a déposé ces faux rsETH dans 9 protocoles de prêt, notamment Aave v3, en tant que collatéral, et a emprunté une grande quantité de WETH (token wrap d’ETH, valeur équivalente à l’ETH). C’est comme utiliser de la « fausse monnaie » pour emprunter de la « vraie monnaie ».

Étape 3 : Créer la panique, provoquer un run sur la liquidité

Le processus a été très rapide : beaucoup de rsETH falsifiés ont été mis en garantie, beaucoup de WETH emprunté, ce qui a vidé la liquidité du marché WETH sur Aave v3, le taux d’utilisation a atteint 100 % — en clair, tout le WETH dans Aave a été emprunté, les utilisateurs ne peuvent plus retirer leurs fonds.

L’annonce de cette situation a provoqué une panique immédiate : tout le monde craignait que Aave ne fasse face à d’énormes pertes dues à ces « collatéraux falsifiés », et que leurs dépôts ne soient en danger. Une crise de liquidité massive s’est alors déclenchée — non seulement sur le marché WETH, mais aussi sur d’autres stablecoins comme USDC et USDT, avec des taux d’utilisation qui ont explosé. En 48 heures, plus de 9 milliards de dollars de dépôts ont été retirés de Aave, et le total des fonds dans le secteur DeFi a diminué de 13,2 milliards de dollars.

Il est à noter que, 46 minutes après le début de l’attaque, KelpDAO a détecté une anomalie, a suspendu d’urgence les contrats liés à rsETH pour arrêter l’attaque, sinon la perte aurait été encore plus grande. L’attaque est aussi attribuée à un groupe nord-coréen, Lazarus, dont la sophistication est très évidente.

III. Dernières nouvelles : mesures d’urgence, problèmes de mauvaises créances toujours en suspens

Après l’attaque, KelpDAO, LayerZero, Aave et d’autres parties ont rapidement réagi. Au 23 avril, voici les dernières avancées :

1. KelpDAO : a suspendu en urgence les contrats liés à rsETH sur le réseau principal et plusieurs chaînes Layer2, a lancé une enquête conjointe avec LayerZero, des auditeurs et des experts en sécurité. Ils examinent encore les pertes et cherchent des solutions pour gérer les mauvaises créances.

2… LayerZero : a précisé que l’attaque ne venait pas d’un bug de leur protocole, mais d’une mauvaise configuration — l’utilisation d’un seul validateur DVN, ce qui n’est pas conforme aux meilleures pratiques recommandées. Ils ont désactivé le nœud RPC compromis, en ont déployé un nouveau, et demandent à tous les projets utilisant un seul validateur de passer à une configuration multi-validateurs, tout en collaborant avec les autorités pour traquer les fonds des hackers.

3. Aave : a gelé en urgence le marché de collatéral WETH pour éviter que la mauvaise créance ne s’étende. Le 21 avril, Aave a annoncé que la réserve WETH sur le marché Ethereum Core V3 a été débloquée, permettant aux utilisateurs de déposer à nouveau du WETH, mais le ratio de prêt (LTV) reste à 0 — c’est-à-dire qu’on ne peut pas utiliser WETH comme garantie pour emprunter pour l’instant. Sur d’autres chaînes comme Prime ou Arbitrum, la réserve WETH reste gelée, avec un plan de reprise progressif.

4. Impact sectoriel : cet incident a suscité une réflexion générale sur la sécurité des ponts cross-chain et le risque lié aux tokens de ré-staking (LRT). Plusieurs protocoles ont resserré leurs critères d’admission pour les collatéraux, certains tokens LRT à faible utilisation ont été retirés, pour éviter de futures crises. Des agences de sécurité ont publié des guides pour renforcer la sécurité des ponts, notamment en vérifiant la sécurité des nœuds et la configuration des validations. Plusieurs projets majeurs ont lancé des mises à jour de sécurité, ajoutant des validateurs multiples et renforçant la protection contre DDoS et manipulations.

5. Suivi des fonds des hackers : au 23 avril, on sait que sur les 116 500 rsETH volés, environ 30 % ont été échangés contre WETH et USDC, une partie a été transférée via des DEX, et 20 % ont été envoyés dans des portefeuilles privés, compliquant la traçabilité. Cependant, des adresses liées aux hackers ont été identifiées, et certains fonds ont été transférés vers des exchanges réglementés, qui sont en train de geler ces fonds en collaboration avec les autorités. La traque continue.

6. Dédommagement des utilisateurs : dans une annonce du 22 avril, KelpDAO a indiqué qu’ils privilégient la protection des utilisateurs ordinaires, en recensant les détenteurs de rsETH et leurs pertes, et en envisageant une compensation via un « fonds communautaire + assurance tierce ». La proportion de compensation et le calendrier restent à préciser après l’audit. Aave a aussi affirmé que les mauvaises créances ne seront pas supportées par les déposants, mais par le fonds de réserve et les responsables identifiés.

IV. Les questions que vous vous posez, clarifiées une fois pour toutes

Après l’incident, beaucoup d’investisseurs et d’utilisateurs de cryptomonnaies ont des questions. Voici les 5 plus courantes, avec des réponses simples :

1. Pourquoi les hackers ont-ils réussi ? Quelle est la cause principale ?

La cause principale est une « erreur de configuration de sécurité » chez KelpDAO — ils ont confié la sécurité du pont cross-chain à un seul validateur (DVN unique). LayerZero avait déjà averti que cette configuration était très risquée, mais KelpDAO n’a pas pris en compte cet avis. Les hackers ont exploité cette faiblesse en manipulant le nœud, en falsifiant les messages de validation, et ont ainsi créé de la fausse ETH stakée sans aucune garantie réelle. C’est une faille de confiance unique, pas une erreur de code.

2. Peut-on récupérer les 290 millions de dollars volés ?

C’est très difficile, mais pas impossible. LayerZero et les autorités collaborent pour suivre les fonds. Même si les hackers ont utilisé des outils de confidentialité pour dissimuler leur source, il est impossible d’effacer complètement la trace sur la blockchain. Cependant, étant donné leur professionnalisme (suspectés d’être un groupe APT), et que certains fonds ont été transférés vers des exchanges, une partie pourrait être récupérée, mais le montant exact reste incertain.

3. Les fonds des utilisateurs ordinaires sont-ils affectés ?

Cela dépend : ① si vous n’avez que déposé des stablecoins comme USDC, USDT ou ETH sur Aave ou autres plateformes, vos fonds sont probablement en sécurité, car Aave a gelé temporairement le marché. ② Si vous détenez du rsETH ou l’avez utilisé comme garantie, vous risquez des pertes, selon la gestion des mauvaises créances par KelpDAO.

4. En quoi cette attaque diffère-t-elle des précédentes attaques de ponts cross-chain ?

La différence majeure est la « réaction en chaîne très forte ». Les attaques précédentes ciblaient souvent un seul projet, mais ici, le rsETH a été accepté comme collatéral par plusieurs grands protocoles, ce qui a provoqué une crise de liquidité généralisée, affectant tout le secteur. De plus, cette attaque combine une « erreur de configuration » et une intrusion dans l’infrastructure, plutôt qu’un simple vol de clés privées ou une faille de code.

5. Quelles seront les évolutions pour le secteur DeFi ?

On peut s’attendre à une « montée en sécurité » : les ponts cross-chain vont probablement imposer des « validateurs multiples » pour éviter la dépendance à un seul point de confiance. Les protocoles de prêt renforceront la vérification des collatéraux, notamment pour les tokens dérivés comme LRT. Enfin, on pourrait voir l’introduction de mécanismes automatiques de suspension en cas de transactions anormales, pour mieux gérer les risques et renforcer la résilience de la DeFi.

V. Conclusion : une alerte pour tout le secteur

Cette attaque de 290 millions de dollars est une tragédie causée par une « confiance aveugle » et une « négligence en sécurité » — KelpDAO a ignoré les recommandations de LayerZero, en adoptant une configuration à haut risque avec un seul validateur, ce qui a permis aux hackers d’agir. La réaction en chaîne a aussi révélé les vulnérabilités du modèle « Lego » de la DeFi : un maillon faible peut faire tomber tout le système.

Pour les utilisateurs, c’est un rappel crucial : investir dans la cryptomonnaie comporte des risques. Lors du choix d’un projet, il faut non seulement regarder ses gains potentiels, mais aussi sa sécurité et sa gestion des risques, pour éviter que la négligence du projet ne vous fasse perdre votre argent.

L’évolution des mesures de sécurité, la gestion des mauvaises créances, et la protection des utilisateurs restent au cœur des préoccupations. Par ailleurs, cet incident accélère aussi la régulation : certains pays envisagent de renforcer la supervision des ponts cross-chain et la régulation des tokens de ré-staking, afin de prévenir des risques systémiques. Nous continuerons à suivre ces développements et à vous tenir informés.