Le piratage de @KelpDAO est l'une des plus grandes exploitations DeFi de 2026, avec des pertes estimées à 292–294 millions de dollars (environ 116 500 rsETH, soit ~18 % de l'offre totale en circulation). Événements clés Horodatage : Aux alentours de 17:35 UTC le 18 avril 2026. L'attaquant a exploité le pont rsETH de KelpDAO, qui repose sur les messages cross-chain de LayerZero. L'attaquant a appelé la fonction lzReceive sur LayerZero EndpointV2 et a falsifié des messages cross-chain pour émettre du rsETH non garanti (rsETH sans actifs sous-jacents réels). Le rsETH falsifié a ensuite été déposé dans des protocoles de prêt majeurs tels qu'Aave V3, Compound, Euler et d'autres afin d'emprunter environ 106–236 millions de dollars en ETH/WETH. Une grande partie de l'ETH volé a été transférée et potentiellement blanchie (Tornado Cash avait été utilisé précédemment pour financer le wallet de l'attaquant). KelpDAO a rapidement mis en pause le contrat rsETH sur le mainnet Ethereum et plusieurs réseaux Layer-2. Plusieurs autres protocoles (Aave, SparkLend, Fluid, Upshift, Lido, Ethena, etc.) ont activé des gelés d'urgence pour limiter les dommages supplémentaires. Cause racine La cause principale était une mauvaise configuration de sécurité critique dans la configuration du pont LayerZero : LayerZero prend en charge des seuils sécurisés pour les Réseaux de Vérificateurs Décentralisés (DVN), tels que 2/2 ou 3/3 (exigeant que plusieurs vérificateurs soient compromis). KelpDAO l'a configuré en 1/1 (un seul vérificateur nécessaire), permettant à l'attaquant de falsifier facilement les messages. L'adaptateur de pont $rsETH a été directement exploité, permettant une émission illimitée de rsETH falsifié. Conséquences Pour KelpDAO : Perte d'environ 292 millions de dollars en valeur rsETH, contrats mis en pause, dommage réputationnel sévère et perte de parité du rsETH. Effets de contagion : @aave V3 a fait face à une dette impayée massive (~200–290 millions de dollars sur les pools WETH) car du rsETH falsifié avait été utilisé comme garantie pour emprunter de l'ETH réel. Les prêteurs WETH sur Aave ont été invités à retirer immédiatement leurs fonds. Au moins 9 autres protocoles (Aave, Compound, Morpho, SparkLend, etc.) ont été impactés. L'ETH enveloppé est resté bloqué sur plus de 20 chaînes. Impact sur le marché : Le token $AAVE a chuté fortement (~10–15 %). Le token $ZRO de @LayerZero_Core a également baissé significativement. Sentiment négatif généralisé dans le DeFi, avec de nombreux utilisateurs retirant leur liquidité des protocoles de prêt. L'attaquant a transféré une grande partie de l'ETH, mais certains marchés restent gelés pour contenir les dégâts. L'affaire fait toujours l'objet d'une enquête (des analystes chain-on comme ZachXBT suivent activement la situation). Elle constitue un rappel majeur des risques associés aux ponts cross-chain et aux tokens de restaking liquide lorsqu'ils sont intégrés dans des protocoles de prêt sans contrôles robustes. Si vous détenez des positions liées au rsETH, aux pools WETH d'Aave ou aux coffres de prêt liés à l'ETH, il est conseillé de vérifier et d'envisager un retrait pour éviter une dette impayée ou des gelés prolongés. La situation pourrait continuer à évoluer dans les prochaines heures.