La passerelle KelpDAO a été exploitée pour un préjudice de 292 millions de dollars ; le groupe Lazarus serait impliqué dans l'attaque.

Le 18 avril 2026, les attaquants 116 500 rsETH ont été retirés. Des jetons d'une valeur d'environ 292 millions de dollars ont été volés sur le pont inter-chaînes de KelpDAO, déclenchant ainsi l'une des plus importantes attaques DeFi de l'année. 

Le piratage a anéanti environ 18 % de l'offre totale en circulation de rsETH, soit 630 000 jetons, a gelé les marchés sur les principales plateformes de prêt et a fait chuter la valeur totale bloquée (TVL) dans la DeFi de plus de 13 milliards de dollars en 48 heures. 

LayerZero, dont l'infrastructure était utilisée par le pont, a depuis pointé du doigt un choix de configuration de KelpDAO comme cause première, tandis que les premières attributions lient l'attaque au groupe Lazarus de Corée du Nord.

Comment le pont KelpDAO a-t-il été vidé ?

KelpDAO est un protocole de restaking liquide, un type de plateforme DeFi qui accepte les dépôts des utilisateurs. ETH, le fait transiter par EigenLayer pour obtenir un rendement supplémentaire en plus du rendement standard Ethereum rsETH distribue des récompenses de staking et émet des jetons de reçu échangeables. Considérez rsETH comme un chèque de réclamation : il représente les fonds mis en jeu. ETH et le rendement qu'il génère, et il peut être échangé ou utilisé comme garantie dans la DeFi.

Le pont qui a été vidangé était construit selon la norme OFT (Omnichain Fungible Token) de LayerZero. LayerZero est une couche de messagerie inter-chaînes, c'est-à-dire l'infrastructure qui permet à différentes blockchains de s'envoyer des instructions vérifiées. 

KelpDAO avait déployé rsETH sur plus de 20 réseaux, dont Base, Arbitre, Ligne, Explosion, Manteauet Scroll. Le pont détenait les réserves de rsETH qui garantissaient les versions encapsulées du jeton sur toutes ces chaînes de couche 2.

Le 18 avril à 17h35 UTC, des attaquants ont trompé la couche de messagerie de LayerZero en lui faisant croire qu'une instruction inter-chaînes valide provenait d'un autre réseau. Cela a déclenché le transfert de 116 500 rsETH par le pont KelpDAO vers une adresse contrôlée par l'attaquant. 

multisignature d'urgence de KelpDAO pause le core Une première tentative de transaction a eu lieu 46 minutes plus tard, à 18h21 UTC. Deux tentatives supplémentaires, à 18h26 et 18h28 UTC, ont échoué après la mise en place de la pause, selon CoinDesk. Chacune de ces tentatives visait à retirer 40 000 rsETH supplémentaires, soit environ 100 millions de dollars.

Comment les attaquants ont contourné la couche de vérification

LayerZero a depuis libéré Une analyse détaillée du fonctionnement technique de l'attaque, qui s'avère plus sophistiquée qu'un simple bug de contrat intelligent.

Découvrez des projets prometteurs...

Des projets prometteurs...

(Publicité)

L'article continue...

La vérification du pont LayerZero repose sur des nœuds RPC : des serveurs permettant aux logiciels de lire et d'écrire des données sur une blockchain. L'attaquant a identifié deux nœuds RPC dont le vérificateur de LayerZero dépendait pour confirmer les transactions inter-chaînes. Il a remplacé le logiciel exécuté sur ces deux nœuds par des versions malveillantes conçues pour signaler une transaction valide au vérificateur de LayerZero, tout en continuant de transmettre des données exactes à tous les autres systèmes interrogeant ces mêmes nœuds. Cette tromperie sélective était spécifiquement conçue pour rester invisible au système de surveillance de LayerZero, qui interroge les mêmes nœuds RPC depuis différentes adresses IP.

La compromission de deux nœuds seulement ne suffisait pas, car le vérificateur de LayerZero interrogeait également des nœuds RPC externes non compromis. Les attaquants ont donc lancé une attaque par déni de service distribué (DDoS) contre ces nœuds externes afin de forcer le basculement du système vers les nœuds compromis. 

Les journaux de trafic partagés par LayerZero indiquent que l'attaque DDoS a eu lieu entre 10h20 et 11h40, heure du Pacifique, le 18 avril. Une fois le basculement déclenché, les nœuds infectés ont signalé au vérificateur la réception d'un message inter-chaînes légitime, et le pont a libéré les rsETH. Le logiciel du nœud malveillant s'est ensuite autodétruit, effaçant ses fichiers binaires et ses journaux locaux.

Comment la configuration de KelpDAO a-t-elle rendu cela possible ?

LayerZero a clairement indiqué où se situe, selon elle, la responsabilité. KelpDAO utilisait une configuration DVN « 1-sur-1 ». DVN signifie « Decentralized Verifier Network », terme employé par LayerZero pour désigner les entités qui vérifient les messages inter-chaînes. 

L'utilisation d'une configuration 1-sur-1 signifiait que LayerZero Labs était la seule entité à confirmer les messages échangés avec le pont rsETH. En compromettant le flux de données d'un seul vérificateur, il est possible de falsifier un message valide.

La documentation d'intégration publique de LayerZero et ses communications directes avec KelpDAO recommandaient une configuration multi-vérificateurs, exigeant un consensus entre plusieurs DVN indépendants avant qu'un message ne soit validé. Dans ce système, la corruption du flux de données d'un seul vérificateur n'aurait pas suffi à mener à bien une transaction frauduleuse.

« KelpDAO a opté pour une configuration DVN 1/1 », a écrit LayerZero dans son rapport d'analyse. « Une configuration correctement renforcée aurait nécessité un consensus entre plusieurs DVN indépendants, rendant cette attaque inefficace même si un seul DVN était compromis. »

David Schwartz, directeur technique de Ripple, a fait une a observation sur le même thème. Il a noté que lors de l'évaluation des systèmes de pontage DeFi pour RLUSDIl a constaté que la plupart des protocoles disposaient de mécanismes de sécurité robustes, mais que ces mécanismes étaient systématiquement présentés comme des fonctionnalités optionnelles qui ajoutaient de la complexité opérationnelle. 

Selon lui, le message implicite des fournisseurs était que les clients ne devaient pas se donner la peine d'utiliser les fonctionnalités de sécurité les plus importantes car elles étaient contraignantes. Il a indiqué avoir le sentiment que KelpDAO avait probablement choisi de ne pas utiliser les principales fonctionnalités de sécurité de LayerZero précisément pour cette raison.

« J’ai comme l’impression qu’une partie du problème viendra du fait que KelpDAO choisira de ne pas utiliser les principales fonctionnalités de sécurité de LayerZero par simple commodité », a déclaré Schwartz. 

KelpDAO n'a pas encore répondu publiquement à la formulation de LayerZero ni expliqué pourquoi elle avait mis en place un système de vérification unique malgré ces recommandations.

Qu'est-il arrivé à rsETH après la suppression ?

Comme le pont détenait les réserves garantissant le rsETH sur chaque chaîne de couche 2 où il était déployé, la fuite a confronté les détenteurs de ces réseaux à une question cruciale : mes jetons sont-ils garantis ? Cette incertitude a créé un cercle vicieux : l’inquiétude quant à la garantie sur les chaînes de couche 2 pouvait inciter les détenteurs à échanger leurs rsETH contre d’autres cryptomonnaies. ETH on Ethereum mainnet, ce qui pourrait à son tour forcer KelpDAO à dénouer ses positions de redtaking EigenLayer pour honorer ces retraits.

KelpDAO a confirmé l'incident dans sa première publication sur X à 20h10 UTC, près de trois heures après la fuite. Le protocole a indiqué collaborer avec LayerZero, Unichain, ses auditeurs et des spécialistes de la sécurité externes pour mener l'enquête.

Quels protocoles ont gelé les marchés ?

La contagion s'est rapidement propagée dans la DeFi :

• Aave Les marchés rsETH ont été gelés sur les plateformes V3 et V4 en quelques heures. Le fondateur, Stani Kulechov, a précisé que la faille était externe. AaveLes contrats de l'entreprise n'ont pas été affectés.
• SparkLend et Fluid ont tous deux gelé leurs marchés rsETH.
• Lido Finance a suspendu les nouveaux dépôts dans son produit earnETH, qui comporte une exposition au rsETH, tout en précisant que le stETH et le wstETH ne sont pas concernés.
• Éthéna a temporairement suspendu ses ponts OFT LayerZero depuis Ethereum le réseau principal par précaution, affirmant qu'il n'a aucune exposition au rsETH et qu'il reste surcollatéralisé à plus de 101 %. 

De combien le TVL de la DeFi a-t-il diminué ?

Les répercussions financières se sont étendues bien au-delà de l'écosystème de KelpDAO. La valeur totale bloquée dans la DeFi a chuté de 99 milliards de dollars à 86 milliards de dollars dans les 48 heures suivant l'exploitation de la faille, soit une baisse de 13.21 milliards de dollars, selon [source manquante]. données de DefiLlamaLa TVL est une mesure standard de la valeur totale en dollars des actifs déposés sur les protocoles DeFi et est largement utilisée comme indicateur de la liquidité et de l'activité globales du marché.

Aave seul a vu 9.5 milliards de dollars de dépôts Au cours de cette période, la TVL a diminué pour atteindre 17.947 milliards de dollars. Les données au niveau des protocoles ont montré des baisses à deux chiffres en pourcentage sur les plateformes, notamment Euler, Sentora et Aave, les pertes étant concentrées dans les stratégies de prêt, de réengagement et de rendement liées aux garanties rsETH.

Le mécanisme à l'origine de ces sorties de fonds était simple mais dévastateur. Les attaquants utilisaient les rsETH volés comme garantie pour emprunter des fonds sur des plateformes de prêt. Ces jetons n'étant plus adossés à des garanties légitimes, les emprunts contractés en les utilisant comme garantie pouvaient engendrer des déficits pour les prêteurs. C'est comparable au dépôt de fausse monnaie dans une banque et à l'obtention de prêts avec cette monnaie : la banque se retrouve avec une créance irrécouvrable. Les protocoles ont réagi en gelant les marchés concernés, ce qui a incité les utilisateurs à retirer massivement leurs fonds, accélérant ainsi la baisse de la TVL.

AAVE Elle a chuté de 18 % au cours des dernières 48 heures.

Le groupe Lazarus est-il à l'origine de l'attaque ?

LayerZero a attribué l'attaque avec un degré de certitude préliminaire au groupe nord-coréen Lazarus et à sa sous-unité TraderTraitor, après analyse des méthodes et de l'infrastructure de l'attaquant. Peter Chung, directeur de la recherche chez Presto Research, a souligné dans une note de recherche que cet incident met en évidence les risques liés à l'infrastructure inter-chaînes, notamment au niveau des systèmes de vérification, et que les premières analyses suggèrent que le problème provient de la couche de vérification plutôt que des contrats intelligents eux-mêmes.

Si l'attribution est confirmée, l'exploitation de KelpDAO représenterait le deuxième vol majeur de fonds DeFi lié à Lazarus Group en 18 jours. Le 1er avril, SolanaLe protocole Drift, basé sur les contrats perpétuels, a été victime d'une attaque ayant entraîné le vol d'environ 285 millions de dollars, attaque ultérieurement attribuée à la même unité nord-coréenne. Les deux attaques ont utilisé des méthodes structurellement différentes : l'ingénierie sociale chez Drift et l'empoisonnement de l'infrastructure chez KelpDAO. Au total, ces deux incidents ont entraîné le vol de plus de 575 millions de dollars à la finance décentralisée (DeFi) en moins de trois semaines.

Qu’a fait LayerZero depuis l’attaque ?

LayerZero a confirmé l'absence de contagion à toute autre application du protocole. Tous les jetons et applications conformes à la norme OFT et utilisant des configurations multi-vérificateurs n'ont pas été affectés. Le vérificateur de LayerZero Labs est de nouveau opérationnel. L'entreprise a également annoncé qu'elle ne signera plus les messages pour les applications utilisant une configuration DVN unique (1-sur-1), ce qui impose de facto une migration à l'échelle du protocole vers d'autres configurations.

Conclusion

L'exploitation de la faille KelpDAO n'était pas due à un bug dans le code de LayerZero. Il s'agissait d'une attaque ciblée contre l'infrastructure, rendue possible par une simple erreur de configuration : l'utilisation d'un système de vérification unique malgré les recommandations contraires. Les attaquants, initialement attribués au groupe nord-coréen Lazarus, ont empoisonné les nœuds RPC, forcé un basculement par une attaque DDoS coordonnée et dérobé 116 500 rsETH avant que KelpDAO ne puisse suspendre ses contrats. Les conséquences en aval ont été la perte de plus de 13 milliards de dollars de TVL DeFi en 48 heures et des blocages généralisés. Aave, SparkLend, Fluid et Lido, et une discussion plus large sur l'écart entre les fonctionnalités de sécurité offertes par les ponts inter-chaînes et celles réellement utilisées par leurs intégrateurs.

Ressources

1. Lookonchain sur XArticles (18 avril - 20 avril)

2. Rapport de CoinDeskLa plus grande faille de sécurité crypto de 2026 : 292 millions de dollars dérobés à Kelp DAO, de l’ether enveloppé bloqué sur 20 chaînes.

3. LayerZero sur XPublication du 20er avril

4. Rapport de The BlockLe pont rsETH de Kelp DAO aurait été exploité pour un préjudice d'environ 292 millions de dollars lors d'une attaque basée sur LayerZero.

5. Portail DeFiLlama: Données TVL de DeFi