#KelpDAOExploitFreeze *Kelp DAO Exploit & Freeze – 18 avril 2026*
C'est maintenant le *plus grand exploit DeFi de 2026*: 292 millions de dollars à 293 millions de dollars drainés de Kelp DAO. Voici ce qui s'est passé et ce qui est gelé :
*1. L'exploit*
- *Quand*: Samedi, 18 avril 2026 à ∼17:35 UTC / 17:35 UTC
- *Qu'est-ce qui a été touché*: Le pont inter-chaînes propulsé par LayerZero de Kelp pour rsETH
- *Comment*: L'attaquant a falsifié le message inter-chaînes de LayerZero. La configuration a utilisé un DVN 1-of-1 (signataire unique) au lieu de 2-of-2, créant un point de défaillance unique. Une clé privée de chaîne source fuitée/compromise a permis à l'attaquant d'émettre un faux message
- *Volé*: 116 500 rsETH = ∼292 millions de dollars, environ 18 % de l'offre totale en circulation de rsETH
- *Vitesse*: Parti en une seule transaction. Deux tentatives de suivi pour un autre 100 millions de dollars ont échoué après que Kelp a mis en pause #KelpDAOExploitFreeze
*2. Ce que Kelp DAO a gelé*
Le multisig de pause d'urgence de Kelp a gelé les contrats principaux 46 minutes après le drain, à 18:21 UTC :
- *Mis en pause*: Contrats rsETH sur le réseau principal Ethereum et plusieurs L2s
- *Statut*: Dépôts/retraits suspendus pendant qu'ils enquêtent avec LayerZero, Unichain, auditeurs
- *Fonds des utilisateurs*: L'équipe a déclaré que les ETH déposés dans les contrats intelligents restent en sécurité - le bogue a touché la frappe/le pont, pas la garde
*3. Gel et retombées à l'échelle DeFi*
Parce que rsETH a été utilisé comme garantie partout, d'autres protocoles ont gelé les marchés pour contenir la contagion :
*Aave V3/V4*
- *Gelé*: Marchés rsETH + réserves WETH sur Ethereum, Arbitrum, Base, Mantle, Linea
- *Pourquoi*: L'attaquant a déposé des rsETH volés comme garantie et emprunté ∼126 000 WETH = 236 millions de dollars
- *Impact*: 177 millions de dollars à 200 millions de dollars en mauvaise dette. Plus de 5,4 milliards de dollars de sorties, TVL en baisse de 24 %, jeton AAVE -17,7 %
- *Remarque*: Les contrats d'Aave n'ont pas été exploités - le problème était la garantie rsETH
*Autres qui ont gelé/pausé* :
- *SparkLend & Fluid*: A gelé les marchés rsETH. SparkLend n'avait aucune exposition
- *Lido Finance*: A mis en pause les dépôts dans le produit earnETH en raison de l'exposition à rsETH. stETH non affecté
- *Ethena*: A fermé les ponts LayerZero du réseau principal Ethereum par précaution, malgré aucune exposition à rsETH
- *Compound V3, Euler*: A également eu des positions de dette de l'attaquant #KelpDAOExploitFreeze #Write2Earn $ETH
C'est maintenant le *plus grand exploit DeFi de 2026*: 292 millions de dollars à 293 millions de dollars drainés de Kelp DAO. Voici ce qui s'est passé et ce qui est gelé :
*1. L'exploit*
- *Quand*: Samedi, 18 avril 2026 à ∼17:35 UTC / 17:35 UTC
- *Qu'est-ce qui a été touché*: Le pont inter-chaînes propulsé par LayerZero de Kelp pour rsETH
- *Comment*: L'attaquant a falsifié le message inter-chaînes de LayerZero. La configuration a utilisé un DVN 1-of-1 (signataire unique) au lieu de 2-of-2, créant un point de défaillance unique. Une clé privée de chaîne source fuitée/compromise a permis à l'attaquant d'émettre un faux message
- *Volé*: 116 500 rsETH = ∼292 millions de dollars, environ 18 % de l'offre totale en circulation de rsETH
- *Vitesse*: Parti en une seule transaction. Deux tentatives de suivi pour un autre 100 millions de dollars ont échoué après que Kelp a mis en pause #KelpDAOExploitFreeze
*2. Ce que Kelp DAO a gelé*
Le multisig de pause d'urgence de Kelp a gelé les contrats principaux 46 minutes après le drain, à 18:21 UTC :
- *Mis en pause*: Contrats rsETH sur le réseau principal Ethereum et plusieurs L2s
- *Statut*: Dépôts/retraits suspendus pendant qu'ils enquêtent avec LayerZero, Unichain, auditeurs
- *Fonds des utilisateurs*: L'équipe a déclaré que les ETH déposés dans les contrats intelligents restent en sécurité - le bogue a touché la frappe/le pont, pas la garde
*3. Gel et retombées à l'échelle DeFi*
Parce que rsETH a été utilisé comme garantie partout, d'autres protocoles ont gelé les marchés pour contenir la contagion :
*Aave V3/V4*
- *Gelé*: Marchés rsETH + réserves WETH sur Ethereum, Arbitrum, Base, Mantle, Linea
- *Pourquoi*: L'attaquant a déposé des rsETH volés comme garantie et emprunté ∼126 000 WETH = 236 millions de dollars
- *Impact*: 177 millions de dollars à 200 millions de dollars en mauvaise dette. Plus de 5,4 milliards de dollars de sorties, TVL en baisse de 24 %, jeton AAVE -17,7 %
- *Remarque*: Les contrats d'Aave n'ont pas été exploités - le problème était la garantie rsETH
*Autres qui ont gelé/pausé* :
- *SparkLend & Fluid*: A gelé les marchés rsETH. SparkLend n'avait aucune exposition
- *Lido Finance*: A mis en pause les dépôts dans le produit earnETH en raison de l'exposition à rsETH. stETH non affecté
- *Ethena*: A fermé les ponts LayerZero du réseau principal Ethereum par précaution, malgré aucune exposition à rsETH
- *Compound V3, Euler*: A également eu des positions de dette de l'attaquant #KelpDAOExploitFreeze #Write2Earn $ETH