Kelp DAO vient de transformer une exploitation de protocole en un véritable événement de stress DeFi.

Le 18 avril 2026, des attaquants ont siphonné environ 290M–293M $ liés à rsETH, faisant de ça l'une des plus grandes exploitations DeFi de l'année. Kelp a signalé une "activité inter-chaînes suspecte", a gelé les contrats rsETH sur la blockchain Ethereum et plusieurs L2, et le rayon d'explosion s'est rapidement étendu aux marchés de prêt.

Ce qui rend ce coup plus dur, c'est le mécanisme. LayerZero affirme que le protocole lui-même n'a pas été exploité ; au lieu de cela, l'attaquant aurait empoisonné l'infrastructure RPC en aval utilisée par le DVN de LayerZero Labs, et l'installation DVN 1-of-1 de Kelp a laissé rsETH exposé comme un point de défaillance unique. LayerZero dit avoir recommandé une configuration multi-DVN, tandis que Kelp a publiquement contesté la répartition des responsabilités.

Le véritable dommage n'était pas seulement le vol. Aave a déclaré que ses propres contrats n'avaient pas été exploités, mais il a quand même gelé les marchés affectés en raison de l'incident du pont rsETH. Des rapports depuis lors indiquent que l'événement a déclenché des retraits massifs, des préoccupations de mauvaises dettes, et une forte chute de la confiance en DeFi bien au-delà de Kelp lui-même.

C'est pourquoi l'histoire semble plus grosse qu'un simple titre de hack : le code n'avait pas besoin de se briser pour que la confiance se brise. Dans DeFi, une hypothèse inter-chaînes faible peut transformer le rendement en panique en quelques heures.

#KelpDAO
#defi
#CryptoHack
#rseth
#Web3Security