
Le protocole de restaking liquide Kelp DAO a subi une violation majeure de la sécurité, entraînant une perte estimée à 293,7 millions de dollars. Cet incident, survenu à la mi-avril 2026, marque la plus grande exploitation DeFi de l'année à ce jour et a déclenché un effet de contagion significatif à travers l'écosystème.
🔍 Analyse Technique : La Vulnérabilité LayerZero
L'exploitation a ciblé l'infrastructure cross-chain de Kelp DAO, en particulier le pont rsETH alimenté par LayerZero Endpoint V2.
Cause Racine : Les analystes en sécurité ont identifié une vulnérabilité dans la configuration du vérificateur 1-à-1 du protocole.
L'Attaque : L'exploitant a utilisé des messages falsifiés inter-chaînes pour déclencher la libération non autorisée de 116 500 rsETH.
Attribution : Les premières enquêtes on-chain menées par des entreprises de sécurité, y compris Halborn et Cyvers, relient l'attaque au groupe Lazarus soutenu par la Corée du Nord (sous-groupe TraderTraitor).
❄️ Réponse d'Urgence & Atténuation
Kelp DAO et ses partenaires ont pris des mesures immédiates pour contenir les dégâts :
Gel du Protocole : Kelp DAO a mis en pause tous les contrats intelligents pertinents immédiatement après la détection de la violation. Cette "pause d'urgence" a bloqué avec succès une deuxième tentative de siphonner 95 à 100 millions de dollars supplémentaires.
Intervention d'Arbitrum : Dans un mouvement rare dirigé par la gouvernance, le Conseil de Sécurité d'Arbitrum a gelé environ 30 766 ETH (~72 millions de dollars) liés au portefeuille de l'attaquant pour empêcher tout mouvement supplémentaire d'actifs volés.
Coordination des Partenaires : Des protocoles majeurs comme Aave, SparkLend et Fluid ont gelé les marchés de rsETH pour se protéger contre l'accumulation de mauvais débts.
📉 Impact sur l'Écosystème & Contagion
La violation a créé un effet d'entraînement à travers les marchés de prêt décentralisés :
Mauvais Débts : L'attaquant a utilisé des rsETH volés comme garantie sur des plateformes de prêt pour emprunter de l'Ether enveloppé (WETH), laissant Aave V3 avec une exposition estimée à 177 millions de dollars en mauvais débts potentiels.
Chute de TVL : Suite à l'incident, plus de 13 milliards de dollars en Valeur Totale Verrouillée (TVL) ont quitté diverses plateformes de restaking et de prêt en raison de préoccupations accrues en matière de sécurité.
Peg rsETH : La valeur marchande de rsETH a subi une pression significative, les traders surveillant le soutien des versions enveloppées sur les réseaux de couche 2.
#KelpDAO #DeFiSecurity #CryptoExploit #BlockchainNews #KelpDAOExploitFreeze
