KuCoin
Se connecter
language_currency
Accueil
Blog
Market Insight
Détails
img

Qu'est-ce que KelpDAO ? Comment son piratage de 292 M$ a secoué le marché crypto en 2026

2026/04/28 06:33:02
Personnalisé
Et si une seule transaction falsifiée pouvait vider près de 300 millions de dollars d’un protocole DeFi en moins d’une heure — puis déclencher une crise en chaîne sur 9 autres plateformes ?
 
C’est exactement ce qui s’est produit le 18 avril 2026. Un attaquant a exploité la passerelle alimentée par LayerZero de Kelp DAO pour vider 116 500 rsETH — environ 292 millions de dollars, soit environ 18 % de l’offre circulante du jeton — déclenchant une pause d’urgence des contrats principaux. L’événement est instantanément devenu la plus grande exploitation DeFi de 2026, ébranlant la confiance des investisseurs du mainnet Ethereum à plus de 20 réseaux Layer-2.
 
Pour comprendre pourquoi cela compte tant, vous devez d'abord comprendre ce qu'est réellement KelpDAO, comment il a construit l'un des écosystèmes les plus interconnectés du DeFi, et pourquoi un seul maillon faible dans son infrastructure cross-chain a suffi à révéler les vulnérabilités structurelles de tout le secteur.

Points clés

  • KelpDAO est un protocole de restaking liquide construit sur EigenLayer, permettant aux utilisateurs de gagner des récompenses de staking tout en gardant leurs actifs liquides grâce à son token rsETH.
  • Le 18 avril 2026, des attaquants ont exploité une vulnérabilité de pont pour créer 116 500 jetons rsETH non garantis d'une valeur d'environ 292 millions de dollars — le plus grand piratage DeFi de 2026.
  • Le piratage a été lié au groupe Lazarus de la Corée du Nord, qui a utilisé les jetons volés comme garantie factice sur Aave pour vider du ETH réel.
  • Au moins 9 protocoles DeFi ont été affectés, la TVL d'Aave a chuté de 10 milliards de dollars, et avril 2026 est devenu le mois le plus mauvais pour les piratages crypto depuis plus d'un an.
  • Une initiative de récupération appelée « DeFi United » a été lancée, avec Lido Finance, EtherFi et le fondateur d'Aave, Stani Kulechov, pour coordonner la couverture du déficit.

Qu'est-ce que KelpDAO ?

KelpDAO est un protocole de restaking liquide construit sur Ethereum qui permet aux utilisateurs de maximiser leurs récompenses de staking sans sacrifier la liquidité de leurs actifs. Au lieu de verrouiller de l'ETH dans un staking traditionnel, Kelp DAO permet aux utilisateurs de restaker leurs jetons de staking liquide (LST) provenant de fournisseurs comme Lido et Rocket Pool afin d'obtenir des récompenses supplémentaires via EigenLayer.
 
En termes simples, KelpDAO fonctionne comme un « amplificateur DeFi ». Vous déposez de l'ETH mis en staking (tel que stETH ou cbETH), le protocole le délègue aux opérateurs EigenLayer, et en échange, vous recevez rsETH — un token de restaking liquide générant des rendements.
 

Qu'est-ce que rsETH ?

rsETH est un jeton représentant une créance sur la position restakée ainsi que sur les rendements accumulés. D'ici avril 2026, rsETH avait dépassé 1 milliard de dollars de TVL et était intégré comme garantie dans la plupart des principaux marchés de prêt et plateformes de rendement de la DeFi.
 
Étant donné que rsETH est liquide, les utilisateurs peuvent le négocier, l’emprunter ou l’utiliser dans des stratégies de rendement — tout en continuant à percevoir les récompenses EigenLayer en arrière-plan. Ce mécanisme de « double perception » a fait de KelpDAO l’un des protocoles de restaking liquide les plus populaires dans l’écosystème.
 

Les fonctionnalités clés de KelpDAO

KelpDAO émet rsETH et gère des Gain Vaults — des optimisateurs automatisés de rendement et de points d'airdrop pour les réseaux Layer-2. Les utilisateurs peuvent déposer ETH, stETH, ETHx et rsETH dans des Gain Vaults pour générer un rendement supplémentaire sans intervention.
 
Le protocole fonctionne sur plus de 10 réseaux et avait accumulé plus de 2 milliards de dollars en Total Value Locked (TVL) avant l'exploit. Avec des intégrations couvrant Aave, Arbitrum, Base, Linea et Mantle, rsETH était devenu profondément intégré dans la pile DeFi.

Le hack de KelpDAO d'avril 2026 : Qu'est-ce qui s'est passé ?

Le vecteur d'attaque : Une faille de pont 1 sur 1

L'attaque s'est déroulée en plusieurs étapes : les attaquants ont compromis des nœuds RPC utilisés par le système de vérification de LayerZero, déployé des binaires malveillants pour manipuler les données de transaction, mené une attaque DDoS coordonnée qui a forcé le système à basculer vers une infrastructure compromise, et enfin provoqué l'acceptation par le système de messages cross-chain falsifiés — entraînant la création de 116 500 rsETH sans aucune couverture.
 
Le point de défaillance critique était la configuration de vérification de KelpDAO. Les analyses sur chaîne ont décrit la vecteur d'attaque comme chirurgical : contaminer les RPC internes tout en effectuant une attaque DDoS sur les externes, en exploitant une configuration de vérification DVN (Decentralized Verifier Network) 1 sur 1. Un vérificateur. Un point de défaillance.
 
Cela signifiait qu'un seul nœud compromis suffisait pour approuver une transaction frauduleuse entre chaînes d'une valeur de centaines de millions de dollars.

Le fil chronologique

Le 18 avril 2026 à 17:35 UTC, l'attaquant a exploité la passerelle. Le multisig de pause d'urgence a suspendu les contrats principaux de Kelp DAO 46 minutes plus tard, à 18:21 UTC. Deux tentatives de retrait supplémentaires ont été effectuées à 18:26 et 18:28 UTC, chacune visant à vider 40 000 rsETH supplémentaires — les deux ont été annulées.
 
La vitesse de l'attaque était époustouflante. En moins d'une heure, l'attaquant avait créé des jetons falsifiés, les avait utilisés comme garantie sur Aave, et vidé des ETH réels du plus grand protocole de prêt DeFi existant.

De l'exploitation du pont à la crise Aave

Le piratage n'a pas arrêté à KelpDAO. L'attaquant a déposé près de 90 000 rsETH comme garantie sur Aave, empruntant environ 190 millions de dollars en ETH et d'autres actifs sur Ethereum et Arbitrum. Cela a laissé Aave avec une garantie altérée, déclenchant une course aux retraits alors que les prêteurs se précipitaient pour retirer les fonds disponibles.
 
La valeur totale des actifs sur Aave a chuté de 10 milliards de dollars suite à l'incident, avec un déficit estimé à plus de 112 000 rsETH, selon le rapport d'incident d'Aave.
 
Alors que la panique s'est répandue pendant les heures de trading asiatiques dimanche, le token natif d'Aave a chuté de 20 %.

L'effet domino : Comment le piratage a touché l'écosystème DeFi dans son ensemble

9 protocoles affectés, 13 milliards de dollars de retraits

Aave V3 a gelé les marchés rsETH, SparkLend a gelé son exposition, tandis que Fluid, Compound, Euler et d'autres ont agi pour contenir le risque. Au moins 9 protocoles ont été affectés. Les dépôts DeFi ont chuté de 13 milliards de dollars en 48 heures alors que les utilisateurs se précipitaient pour retirer leurs fonds avant que quelqu'un d'autre ne le fasse. Pour chaque dollar volé par les pirates en avril, les utilisateurs DeFi ont retiré environ 20 fois plus du système. Cet effet d'amplification — où une exploitation provoque une fuite de capital bien plus importante — est précisément ce qui rend les attaques sur les ponts si destructrices. Elles ne volent pas seulement de la valeur ; elles détruisent la confiance.

rsETH bloqué sur plus de 20 chaînes

Étant donné que le pont détenait des réserves garantissant rsETH sur plus de 20 réseaux, la perte a suscité des doutes quant à la garantie de rsETH sur les Layer 2 et déclenché une vague de gel du marché par des protocoles tels qu'Aave, SparkLend et Fluid. Les détenteurs de rsETH sur Arbitrum, Base, Mantle, Linea et d'autres chaînes pontées se sont retrouvés avec des jetons qui ne pouvaient plus être échangés en toute confiance contre une réclamation 1:1 sur les fonds déposés sur Ethereum. Les retraits ont été suspendus et la liquidité a été retirée des pools DEX.
 

KernelDAO pris dans le feu croisé

KelpDAO opère au sein de l'écosystème plus vaste de KernelDAO. Le token KERNEL a chuté de 19,9 % au cours des sept jours suivant l'attaque. La capitalisation boursière de KernelDAO est tombée à environ 20 millions de dollars — ce qui rend la capitalisation boursière du protocole 48 fois plus petite que son TVL.

Qui était derrière le piratage de KelpDAO ?

KelpDAO a été vidée d'environ 290 millions de dollars le 18 avril, après que des attaquants, probablement le groupe Lazarus de la Corée du Nord, aient compromis des nœuds RPC et exploité une configuration cross-chain à un seul vérificateur pour créer 116 500 jetons rsETH non garantis. LayerZero, dont l'infrastructure de messagerie a été utilisée, a déclaré que son protocole principal n'était pas en cause.
 
Lazarus Group vole des crypto-monnaies depuis une décennie. En 2025 seulement, ils ont récupéré environ 59 % de chaque dollar volé dans l'ensemble de l'industrie. Ils ont vidé 285 millions de dollars du protocole Drift et 292 millions de dollars de KelpDAO en avril 2026, et les deux attaques ont été préparées au cours de plusieurs mois d'ingénierie sociale.
 
Il s'agit d'un changement critique dans le paysage des menaces. Comme l'a noté Mitchell Amador, fondateur d'Immunefi, avec le code devenu plus difficile à exploiter, la cible principale des pirates en 2026 est les personnes. L'infrastructure de pont n'était pas nécessairement défectueuse — ce sont les humains opérant les nœuds de vérification qui ont été trompés.

Avril 2026 : Le pire mois pour les piratages de crypto depuis plus d'un an

Le piratage de KelpDAO n'a pas eu lieu dans l'isolement. Avril 2026 est désormais le mois le plus meurtrier pour les piratages cryptos en plus d'un an, avec 606 millions de dollars volés répartis sur 12 incidents. Cela représente déjà trois fois plus que tous les incidents de piratage du T1 réunis, et le mois n'était pas terminé.
 
Les autres incidents d'avril ont inclus un piratage de domaine de 1,2 million de dollars sur l'agrégateur DEX CoW Swap, une manipulation d'oracle de 18,4 millions de dollars sur le réseau NEAR et une attaque par flash loan de 1,6 million de dollars sur Binance Smart Chain. La valeur totale verrouillée dans DeFi est depuis tombée de 166 milliards de dollars à 89 milliards de dollars — une chute impressionnante qui reflète l'ampleur de la crise de confiance qui touche le secteur.

L'effort de récupération : « DeFi United »

Aave et plusieurs grandes entreprises de cryptomonnaie coordonnent un effort de récupération baptisé "DeFi United" pour stabiliser les marchés DeFi après que l'exploit a laissé le plus grand prêteur du secteur aux prises avec un important déficit. Lido Finance, EtherFi et le fondateur d'Aave, Stani Kulechov, figurent parmi ceux qui ont proposé de contribuer des ETH pour combler le trou.
 
Le 21 avril, le Conseil de sécurité du réseau Arbitrum a gelé 30 766 ETH (71 millions de dollars) de fonds de l'attaquant issus de l'exploit, récupérant environ 25 % des actifs volés. La récupération sera lente. Il reste une question ouverte de savoir si rsETH pourra rétablir pleinement son peg, et si KelpDAO pourra reconstruire la confiance des utilisateurs tout en honorant les remboursements, à l'approche du T2 2026.

Pourquoi les attaques sur les ponts se produisent-elles en continu ?

Les attaques de ponts crypto comme l'exploitation de 292 millions de dollars de Kelp DAO se produisent continuellement parce que les ponts s'appuient sur des intermédiaires de confiance et des sources de données externes plutôt que de vérifier entièrement l'activité de la blockchain, créant ainsi des opportunités faciles pour les attaquants de manipuler. Le problème est structurel, pas seulement dû à des bogues ou des erreurs.
 
Les attaques de ponts restent rarement limitées. Les actifs pontés sont utilisés à travers des protocoles de prêt, des pools de liquidité et des stratégies de rendement. Si ces actifs sont compromis, les dégâts se propagent. Comme l'a expliqué Sergej Kunz, cofondateur de 1inch : "D'autres plateformes peuvent traiter un actif piraté comme légitime. C'est ainsi que la contagion se produit."
 
Les ponts cross-chain ont été depuis 2021 la composante d'infrastructure la plus exploitée dans le domaine de la cryptomonnaie, avec plus de 2,8 milliards de dollars prélevés sur eux — environ 40 % de chaque dollar volé dans Web3. L'incident KelpDAO n'est pas une anomalie — il s'agit de la continuation d'un problème structurel qui persiste depuis des années, et l'industrie n'a pas encore offert de solution globale.

Ce que le hack signifie pour l'avenir du DeFi

La confiance dans la DeFi s'est « effritée », et Charles Guillemet, vice-président de la sécurité chez Ledger, a averti que 2026 sera « très probablement la pire année en termes de piratages, encore une fois ». Toutefois, tous les experts ne sont pas pessimistes. Michael Egorov de Curve Finance a reconnu le côté positif : « Le crypto est un environnement dur que n'importe quelle banque n'aurait pas survécu — pourtant, nous travaillons avec cela. Je pense que la DeFi tirera des leçons de cet incident et deviendra plus forte qu'avant. »
 
L'affaire KelpDAO accélère les discussions sur les conceptions de ponts multi-signataires, les audits de sécurité obligatoires pour les configurations cross-chain et les normes plus strictes d'admission des collatéraux pour les protocoles de prêt. Que ces discussions aboutissent à des changements réels à temps pour prévenir la prochaine exploitation majeure est la question déterminante pour la DeFi en 2026.

Comment trader les tokens DeFi et les tokens de l'écosystème ethereum sur KuCoin

Le piratage de KelpDAO a ravivé l'intérêt pour la compréhension de la manière dont les protocoles de restaking liquide, les dérivés Ethereum et les jetons de gouvernance DeFi sont évalués et négociés. Si vous souhaitez vous positionner autour de ces événements rapides du marché — que ce soit en négociant AAVE, en surveillant la volatilité de l'ETH ou en explorant des jetons liés au restaking — KuCoin offre une liquidité approfondie pour les jetons au cœur de cette histoire.
 
KuCoin permet de trader AAVE, ETH et un large éventail de tokens DeFi sur ses marchés spot et futures avec des frais compétitifs. La plateforme offre également des données de marché en temps réel et des alertes d'actualités — particulièrement utiles lors d'événements de crise comme le piratage de KelpDAO, où les prix des tokens peuvent fluctuer de 20 % en quelques heures. Les nouveaux utilisateurs peuvent s'inscrire sur KuCoin et accéder à une gamme complète d'outils de trading pour naviguer dans les conditions de marché volatiles alors que le secteur DeFi continue d'évoluer.
 

Lire la suite :

Conclusion

KelpDAO a construit l'un des écosystèmes de restaking liquide les plus ambitieux de la DeFi, permettant aux utilisateurs de générer des récompenses Ethereum en couches tout en conservant la liquidité des jetons grâce à rsETH. Mais son exploit sur la passerelle d'avril 2026 a révélé une vérité critique : dans un environnement DeFi interconnecté, un seul nœud vérificateur mal configuré peut devenir une vulnérabilité de 292 millions de dollars.
 
Le piratage — le plus important de 2026, attribué au groupe Lazarus de la Corée du Nord — s'est propagé instantanément à travers 9 protocoles, déclenchant une vague de retraits de 10 milliards de dollars sur Aave et faisant d'avril 2026 le mois le plus mauvais pour les piratages crypto depuis plus d'un an. Une récupération coordonnée via « DeFi United » est en cours, avec Arbitrum qui a gelé environ 71 millions de dollars des fonds de l'attaquant, mais le chemin vers une restitution complète reste incertain.
 
Pour le marché crypto dans son ensemble, l'incident KelpDAO est à la fois un avertissement et un catalyseur. L'infrastructure des ponts doit être repensée avec plusieurs couches de vérification indépendantes, les protocoles de prêt nécessitent des normes de garantie plus conservatrices, et l'industrie doit traiter les groupes de piratage soutenus par l'État comme Lazarus comme un adversaire permanent. L'écosystème DeFi qui émergera de cette crise — s'il en émerge — sera probablement plus résilient, mais le chemin jusqu'à là sera douloureux.

FAQ

KelpDAO continue-t-il ses opérations après le piratage ?

KelpDAO a suspendu ses contrats principaux sur le mainnet et plusieurs Layer-2 immédiatement après la détection de l'exploit. L'équipe a confirmé qu'elle travaille avec LayerZero, Unichain, ses auditeurs et des experts en sécurité sur la récupération. La reprise complète des opérations dépendra du résultat de l'initiative de récupération « DeFi United » et de la capacité de rsETH à rétablir son parité 1:1.
 

LayerZero lui-même a-t-il été piraté lors de l'exploitation de KelpDAO ?

LayerZero a déclaré que son protocole principal n'était pas en cause. La vulnérabilité provenait de la configuration spécifique de KelpDAO du messagerie cross-chain de LayerZero — plus précisément l'utilisation d'une configuration à un seul vérificateur (1-of-1 DVN), qui a créé un point unique de défaillance exploité par les attaquants.
 

Qu'est-ce qui est arrivé à la valeur de rsETH après le piratage ?

Après le piratage, la valeur et la parité de rsETH ont subi une pression sévère. Les retraits ont été suspendus sur plus de 20 chaînes, et la liquidité a quitté les pools DEX. Le rsETH sur mainnet reste garanti par des dépôts légitimes des utilisateurs dans EigenLayer, mais le rsETH ponté sur les réseaux Layer-2 a perdu sa garantie de rachat fiable 1:1, laissant les détenteurs bloqués.
 

Comment les utilisateurs DeFi peuvent-ils se protéger contre des piratages similires à l'avenir ?

Les utilisateurs doivent diversifier leur exposition entre les protocoles, éviter de concentrer les jetons de restaking en garantie sur les plateformes de prêt, et surveiller de près les disclosures de sécurité des ponts. Privilégier les protocoles dotés de conceptions de ponts à vérificateurs multiples, de programmes actifs de bug bounty et d'audits de sécurité transparents réduit de manière significative — bien qu'aucun risque ne soit jamais éliminé — l'exposition aux exploitations liées aux ponts.
 
Avertissement : Cet article a uniquement une vocation informative et ne constitue pas un conseil financier ou en matière d'investissement. Les investissements dans les cryptomonnaies comportent des risques significatifs. Effectuez toujours vos propres recherches avant de trader.

Avertissement : Pour votre confort, cette page a été traduite à l'aide de la technologie IA (GPT). Pour obtenir les informations à la source, consultez la version anglaise originale.