Kelp DAO, un protocole de restaking liquide connecté à EigenLayer, a été exploité le 18 avril 2026. Environ 292 millions de dollars en $RSETH ont été drainés par son pont inter-chaînes LayerZero.
L'attaquant a forgé un message inter-chaînes que le système a accepté comme valide, même s'il n'y a eu aucun véritable dépôt sur la chaîne source. Cela leur a permis de frapper ou de débloquer environ 116 500 rsETH sans aucun ETH réel pour le soutenir.
Le rsETH volé a ensuite été envoyé à Aave, un protocole de prêt DeFi majeur, où il a été utilisé comme garantie pour emprunter de grandes quantités d'ETH réel et d'ETH enveloppé. Au moment où les protocoles ont réagi, une grande partie de l'ETH emprunté avait déjà été déplacée.
Une deuxième attaque a presque été exécutée, ce qui aurait pu drainer 100 millions de dollars supplémentaires, mais une réponse rapide de la liste noire l'a arrêtée juste avant qu'elle ne se réalise.
Kelp DAO a mis en pause les contrats rsETH sur le mainnet et plusieurs chaînes Layer-2. Aave a gelé les marchés $RSETH. Compound, Euler Labs et Venus Protocol ont également examiné et ajusté leur exposition.
Le problème est signalé comme s'étant produit dans la couche du Réseau de Vérificateur Décentralisé, qui est responsable de la confirmation des messages inter-chaînes, et non dans les contrats intelligents de base eux-mêmes. Cela souligne une faiblesse de configuration dans la manière dont la validation externe a été approuvée.
L'exploitation a d'abord été rapportée par l'enquêteur blockchain ZachCBT et est désormais considérée comme l'un des plus grands incidents DeFi de 2026, montrant comment un échec de pont unique peut répandre le risque à travers tout l'écosystème DeFi en quelques minutes.
#KelpDAO #security #Hack #Hacked #exploit
L'attaquant a forgé un message inter-chaînes que le système a accepté comme valide, même s'il n'y a eu aucun véritable dépôt sur la chaîne source. Cela leur a permis de frapper ou de débloquer environ 116 500 rsETH sans aucun ETH réel pour le soutenir.
Le rsETH volé a ensuite été envoyé à Aave, un protocole de prêt DeFi majeur, où il a été utilisé comme garantie pour emprunter de grandes quantités d'ETH réel et d'ETH enveloppé. Au moment où les protocoles ont réagi, une grande partie de l'ETH emprunté avait déjà été déplacée.
Une deuxième attaque a presque été exécutée, ce qui aurait pu drainer 100 millions de dollars supplémentaires, mais une réponse rapide de la liste noire l'a arrêtée juste avant qu'elle ne se réalise.
Kelp DAO a mis en pause les contrats rsETH sur le mainnet et plusieurs chaînes Layer-2. Aave a gelé les marchés $RSETH. Compound, Euler Labs et Venus Protocol ont également examiné et ajusté leur exposition.
Le problème est signalé comme s'étant produit dans la couche du Réseau de Vérificateur Décentralisé, qui est responsable de la confirmation des messages inter-chaînes, et non dans les contrats intelligents de base eux-mêmes. Cela souligne une faiblesse de configuration dans la manière dont la validation externe a été approuvée.
L'exploitation a d'abord été rapportée par l'enquêteur blockchain ZachCBT et est désormais considérée comme l'un des plus grands incidents DeFi de 2026, montrant comment un échec de pont unique peut répandre le risque à travers tout l'écosystème DeFi en quelques minutes.
#KelpDAO #security #Hack #Hacked #exploit