Quand une seule signature mal configurée suffit à créer 292 millions de dollars en tokens à partir de rien, toute la promesse de la finance sans confiance semble beaucoup plus fragile que son nom ne le suggère.
Comment l'attaque a fonctionné
Le 18 avril 2026, un attaquant a exploité une vulnérabilité dans le pont inter-chaînes de KelpDAO - alimenté par LayerZero - pour siphonner 116 500 tokens rsETH d'une valeur d'environ 292 millions de dollars. Cela représente environ 18 % de l'offre circulante totale de rsETH, conjurée à partir d'un défaut qui n'était pas dans le protocole de LayerZero lui-même, mais dans la manière dont Kelp l'avait configuré.
La configuration reposait sur un seul point de vérification pour autoriser les messages inter-chaînes. L'attaquant l'a trouvé, en a profité, et un message est passé alors qu'il n'aurait pas dû. "Une signature et 116 500 rsETH se sont matérialisés de nulle part sur Ethereum," comme l'ont décrit plus tard les chercheurs. Ces tokens ont ensuite été utilisés comme garantie pour emprunter des actifs réels - principalement d'Aave - et ont été drainés avant que le protocole ne puisse se mettre sur pause.
Les empreintes du groupe Lazarus
Trois jours après la violation, la firme d'analyse blockchain Chainalysis a attribué l'attaque au groupe Lazarus de la Corée du Nord, sur la base des modèles d'utilisation des mixeurs et des méthodes de dispersion des fonds correspondant au style opérationnel connu du groupe. L'attribution est cohérente avec le parcours de Lazarus ciblant les protocoles DeFi - ils ont été les voleurs en chaîne les plus prolifiques depuis plusieurs années.
L'ampleur de la perte en fait le plus grand exploit DeFi de 2026, dépassant le hack de Drift de quelques millions de dollars. Les pertes cumulées de la DeFi cette année ont désormais franchi les 770 millions de dollars à travers plus de 30 incidents - un chiffre difficile à présenter comme la douleur croissante d'une industrie en maturité.
La DeFi monte au créneau
Ce qui a suivi était, selon votre perspective, soit un remarquable spectacle de coordination, soit un rappel que le filet de sécurité en DeFi est entièrement informel.
Aave a convoqué une coalition appelée "DeFi United", rassemblant Lido Finance, EtherFi et d'autres protocoles majeurs pour avancer de l'ETH afin de couvrir le manque à gagner laissé dans les pools de prêts d'Aave. Le 21 avril, le Conseil de sécurité du réseau Arbitrum a gelé 30 766 ETH - environ 71 millions de dollars - appartenant à l'attaquant, récupérant environ 25 % des actifs volés. Standard Chartered a publié une note qualifiant la réponse du secteur de signe de résilience. La communauté crypto au sens large était moins mesurée, certains déclarant la DeFi morte sans appel.
Ce qui doit changer
Le post-mortem de CoinDesk publié samedi pointe les ponts inter-chaînes comme le maillon faible le plus persistant de la DeFi - un problème dont l'industrie est consciente depuis les exploits du pont Wormhole et Ronin il y a quelques années. Le schéma est constant : la complexité des ponts crée des surfaces d'attaque, et les incitations à expédier rapidement tendent à dépasser les incitations à auditer soigneusement.
La partie la plus inconfortable de cet incident est qu'il ne s'agissait pas d'une vulnérabilité zero-day sophistiquée. C'était une erreur de configuration. L'infrastructure de LayerZero fonctionnait comme prévu - le problème était la manière dont Kelp l'avait déployée. C'est un problème beaucoup plus difficile à aborder uniquement avec des audits, car cela signifie que tout protocole utilisant une infrastructure partagée doit vérifier non seulement le code, mais aussi chaque paramètre régissant comment les messages inter-chaînes sont fiables et validés.
KelpDAO et Aave travaillent encore sur la récupération. Pendant ce temps, le groupe Lazarus a environ 292 millions de dollars d'actifs à blanchir. Certaines choses dans la crypto avancent plus vite que d'autres.
---------------
Auteur : Ryan Gardner, Bureau des nouvelles de la Silicon Valley
Abonnez-vous à GCP dans un lecteur