Le pont LayerZero de KelpDAO, qui gère les tokens rsETH, a été exploité par un message cross-chain malveillant, entraînant le transfert de 116 500 rsETH (environ 292 millions de dollars américains au moment de la rédaction). L'attaque a eu lieu le 18 avril à 17h35 (UTC, soit le 19 avril 2026 à 02h35 heure locale). Après la détection de la fuite, KelpDAO a arrêté les contrats liés à rsETH, et les principales plateformes de prêt ont commencé à geler leurs marchés concernés. ([https://t.co/yxB106i5Uw](https://t.co/9OxQJcEWwa)) L'attaque a été réalisée en exploitant des « paquets de réception falsifiés » via le mécanisme de messagerie de LayerZero, une vulnérabilité critique rendue possible par la configuration à un seul vérificateur (1-of-1) pour l'authentification des messages reçus. Cela a permis à l'attaquant de libérer simultanément des rsETH qui n'auraient pas dû être débloqués, puis d'effectuer des emprunts massifs en utilisant ces tokens comme garantie. Les détails techniques, les identifiants de transaction et les estimations forensiques sont progressivement publiés par des sites spécialisés. ([https://t.co/nxOnLAhrAO](https://t.co/9E4fLTfvcE)) L'impact s'est propagé rapidement. Le rsETH est disponible sous forme wrapée sur plus de 20 chaînes, y compris Ethereum, Base, Arbitrum, Linea, Mantle et Scroll. La réduction des réserves du pont a suscité des inquiétudes quant à un sous-financement potentiel des rsETH sur ces chaînes. En réponse, Aave a gelé ses marchés rsETH, et d'autres plateformes de prêt ou de rendement ont suivi en suspendant ou en exigeant le retrait des positions rsETH. Le token AAVE a également connu une chute brutale, et les coûts de crédit à court terme ainsi que l'application des modules d'assurance sont désormais au centre des préoccupations. ([https://t.co/yxB106i5Uw](https://t.co/9OxQJcEWwa)) Les analyses on-chain estiment que le montant effectivement récupéré (les actifs liquides retirés par l'attaquant via ses emprunts) se situe entre 200 et 236 millions de dollars américains, tandis que les « dettes impayées » (bad debt) enregistrées par Aave s'élèvent à environ 177 millions de dollars. Les mécanismes de protection d'Aave (comme le module Umbrella) et les systèmes d'absorption des pertes entre protocoles sont surveillés de près ; leur efficacité influencera les décisions futures de gouvernance. ([https://t.co/nxOnLAhrAO](https://t.co/9E4fLTfvcE)) KelpDAO et LayerZero ont promis des post-mortems pour identifier les causes et mettre en œuvre des mesures correctives. Des sociétés d'audit de sécurité et des équipes d'investigation on-chain collaborent pour suivre les transactions. Cet incident souligne une fois encore que les configurations des ponts et des mécanismes de vérification des messages peuvent être critiques pour la sécurité des actifs à haute valeur. Bien qu'il soit prudent d'éviter toute affirmation catégorique susceptible d'influencer les décisions d'investissement, il est essentiel de consulter les rapports officiels et les mises à jour des parties concernées. ([https://t.co/yxB106i5Uw](https://t.co/9OxQJcEWwa))