🚨 Kelp DAO a été hacké pour 290 millions de dollars : LayerZero blâme Kelp, soupçonnant Lazarus de Corée du Nord d'être derrière
Le 18/4, un hacker a retiré environ 290 millions de dollars de Kelp DAO via un pont fonctionnant sur LayerZero. C'est le plus gros hack DeFi de 2026, et je trouve que c'est un cas d'étude très intéressant à analyser.
La méthode d'attaque était assez sophistiquée :
→ Le hacker a infiltré 2 nœuds RPC utilisés par le vérificateur de LayerZero, en installant un logiciel frauduleux
→ Le logiciel ne mentait qu'au vérificateur (rapportant que les transactions fausses étaient vraies), tout en fournissant des données correctes à tous les autres systèmes, donc personne ne soupçonnait rien
→ En parallèle, il a lancé un DDoS pour faire tomber les nœuds de secours, laissant le vérificateur sans ressource pour faire des vérifications croisées
Résultat : le vérificateur n'avait plus que 2 nœuds manipulés, validant des transactions fausses, l'argent a été retiré sans hésitation.
LayerZero dit que la faute revient à Kelp, pourquoi ?
→ Kelp n'utilisait qu'un seul ensemble de vérification (configuration 1/1 DVN)
→ En termes simples : au lieu de 3 personnes signant le transfert d'argent, Kelp a juste demandé à une seule personne, le hacker a réussi à berner cette personne et c'était fini
→ LayerZero affirme avoir conseillé à maintes reprises Kelp d'utiliser plusieurs DVN indépendants, mais Kelp n'a pas écouté
Ce qui me fait froid dans le dos, c'est le nom qui se cache derrière tout ça. LayerZero pense qu'il s'agit très probablement du groupe Lazarus de Corée du Nord (l'unité TraderTraitor), qui a également hacké Drift Protocol le 1/4. Au total, en 18 jours, Lazarus a retiré plus de 575 millions de dollars de DeFi avec deux types d'attaques complètement différentes.
📊 Mon analyse personnelle :
→ C'est pourquoi la semaine dernière, j'ai vu le $AXL pump de 30 %, la narrative de la sécurité cross-chain n'est pas une blague
→ Le risque réel ne réside pas dans LayerZero lui-même mais dans la façon dont les devs configurer la sécurité, un 1/1 DVN est essentiellement une invitation ouverte aux hackers
→ Pour les investisseurs DeFi, je pense qu'il est temps de commencer à lire attentivement les spécifications de sécurité de chaque protocole, pas seulement de regarder l'APY
→ LayerZero a déclaré qu'il refusait de servir tout projet utilisant toujours un 1/1 DVN, c'est un bon pas en avant
Kelp DAO n'a pas encore répondu. Vous détenez un token DeFi avec un pont vers LayerZero ? Je pense qu'il vaut mieux vérifier la configuration DVN avant de dormir paisiblement.
$ETH $BTC #DeFi
Le 18/4, un hacker a retiré environ 290 millions de dollars de Kelp DAO via un pont fonctionnant sur LayerZero. C'est le plus gros hack DeFi de 2026, et je trouve que c'est un cas d'étude très intéressant à analyser.
La méthode d'attaque était assez sophistiquée :
→ Le hacker a infiltré 2 nœuds RPC utilisés par le vérificateur de LayerZero, en installant un logiciel frauduleux
→ Le logiciel ne mentait qu'au vérificateur (rapportant que les transactions fausses étaient vraies), tout en fournissant des données correctes à tous les autres systèmes, donc personne ne soupçonnait rien
→ En parallèle, il a lancé un DDoS pour faire tomber les nœuds de secours, laissant le vérificateur sans ressource pour faire des vérifications croisées
Résultat : le vérificateur n'avait plus que 2 nœuds manipulés, validant des transactions fausses, l'argent a été retiré sans hésitation.
LayerZero dit que la faute revient à Kelp, pourquoi ?
→ Kelp n'utilisait qu'un seul ensemble de vérification (configuration 1/1 DVN)
→ En termes simples : au lieu de 3 personnes signant le transfert d'argent, Kelp a juste demandé à une seule personne, le hacker a réussi à berner cette personne et c'était fini
→ LayerZero affirme avoir conseillé à maintes reprises Kelp d'utiliser plusieurs DVN indépendants, mais Kelp n'a pas écouté
Ce qui me fait froid dans le dos, c'est le nom qui se cache derrière tout ça. LayerZero pense qu'il s'agit très probablement du groupe Lazarus de Corée du Nord (l'unité TraderTraitor), qui a également hacké Drift Protocol le 1/4. Au total, en 18 jours, Lazarus a retiré plus de 575 millions de dollars de DeFi avec deux types d'attaques complètement différentes.
📊 Mon analyse personnelle :
→ C'est pourquoi la semaine dernière, j'ai vu le $AXL pump de 30 %, la narrative de la sécurité cross-chain n'est pas une blague
→ Le risque réel ne réside pas dans LayerZero lui-même mais dans la façon dont les devs configurer la sécurité, un 1/1 DVN est essentiellement une invitation ouverte aux hackers
→ Pour les investisseurs DeFi, je pense qu'il est temps de commencer à lire attentivement les spécifications de sécurité de chaque protocole, pas seulement de regarder l'APY
→ LayerZero a déclaré qu'il refusait de servir tout projet utilisant toujours un 1/1 DVN, c'est un bon pas en avant
Kelp DAO n'a pas encore répondu. Vous détenez un token DeFi avec un pont vers LayerZero ? Je pense qu'il vaut mieux vérifier la configuration DVN avant de dormir paisiblement.
$ETH $BTC #DeFi