Le protocole de re-staking Kelp DAO a été piraté dans la nuit du 19 avril, heure de Taïwan, selon un rapport de CoinDesk et le suivi de la société de sécurité on-chain Cybers. Les attaquants, via un connecteur de pont inter-chaînes déployé par Kelp sur LayerZero, ont falsifié des messages inter-chaînes afin de déclencher le contrat, libérant 116 500 jetons rsETH, soit environ 292 millions de dollars, représentant près de 18 % de l’offre en circulation de rsETH. Cette perte dépasse l’événement de 285 millions de dollars du Drift Protocol début avril et devient le plus grand incident de sécurité DeFi de 2026.
Falsification des messages inter-chaînes pour contourner la validation du pont
Le rsETH natif de Kelp DAO est émis sur le réseau principal Ethereum et, via la couche de messages inter-chaînes de LayerZero, est déployé sur plus de 20 autres chaînes. L’attaquant a lancé l’attaque vers 14 h 50 le 18 avril, heure de la côte Est des États-Unis, en utilisant des paquets inter-chaînes falsifiés afin que l’adaptateur du contrat sur le réseau principal croie à « des instructions valides provenant d’une autre chaîne », puis de libérer 116 500 rsETH vers une adresse contrôlée par l’attaquant.
Une fois le rsETH obtenu, l’attaquant a ensuite déposé les jetons en garantie sur Aave V3, emprunté du WETH, et a transféré les actifs par lots vers Arbitrum via un pont inter-chaînes, avant de blanchir les fonds finalisés via le mixeur Tornado Cash. Environ 46 minutes après le début de l’attaque, Kelp a déclenché, via des multi-signatures de pause d’urgence, un revert pour les deux tentatives d’attaque ultérieures de 40 000 rsETH chacune (soit environ 100 millions de dollars), car le contrat avait été gelé.
Gel d’urgence du marché rsETH sur Aave
L’un des fondateurs d’Aave, Stani Kulechov, a déclaré sur les réseaux sociaux : « Le marché rsETH sur Aave V3 et Aave V4 a été gelé, le contrat Aave lui-même n’a pas été attaqué ; il s’agit d’une vulnérabilité côté rsETH », et a souligné que les droits d’emprunt du rsETH sur Aave sont nuls, qu’il n’y a donc pas de pertes directes pour Aave. Cependant, les positions d’emprunt WETH supportées comme collatéral par rsETH laissent encore un risque de créances irrécouvrables d’environ 177 millions de dollars, ce qui pousse les apporteurs de liquidité à se retirer en urgence.
Réaction du marché forte. Après la diffusion de la nouvelle, le token AAVE a chuté de 10,27 % sur une journée, et a atteint brièvement 105,73 dollars. Les protocoles de prêt connexes SparkLend et Fluid ont également gelé successivement les positions impliquant rsETH ; le risque en chaîne a été amplifié le week-end, lorsque la liquidité est plus faible.
rsETH enveloppé : dispersé sur 20 chaînes, un problème de liquidation
L’effet en chaîne de cet incident est plus important que celui d’une attaque sur une seule chaîne. Les réserves d’adaptateur vidées sont précisément les actifs de soutien qui sous-tendent l’émission de wrapped rsETH sur plus de 20 chaînes ; cela signifie que les utilisateurs qui continuent d’effectuer des prêts, des mises en jeu ou des transactions avec wrapped rsETH sur d’autres chaînes feront face à un risque de déconnexion passive. La déclaration officielle de Kelp se limite à indiquer qu’elle a identifié des « activités inter-chaînes suspectes » et a mis en pause le contrat rsETH ; aucun plan d’indemnisation n’a encore été publié.
Le pont inter-chaînes devient une nouvelle surface d’attaque pour DeFi
L’incident Kelp s’inscrit dans une tendance où, depuis 2026, la couche de messages inter-chaînes est devenue le personnage principal des attaques. Du début du mois, où Drift Protocol a utilisé un nonce durable Solana pour contourner des multi-signatures, jusqu’à la présente attaque visant à falsifier des messages LayerZero de Kelp, les points de défaillance ne se situent pas dans le protocole de prêt lui-même, mais dans le mécanisme de validation des messages qui relie les différentes chaînes. L’équipe de gestion des risques Chaos Labs s’était déjà retirée d’Aave en matière de contrôle du risque, à cause de controverses budgétaires ; en plus, l’émergence d’une surface d’attaque concentrée des ponts inter-chaînes rend la gouvernance structurelle de la sécurité des protocoles DeFi encore plus difficile.
Cet article : « Kelp DAO piraté : 292 millions de dollars, une attaque par falsification de messages sur le pont inter-chaînes LayerZero, le plus grand événement DeFi de 2026 » — apparaît pour la première fois sur Chaîne News ABMedia.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Litecoin subit une profonde réorganisation de chaîne après une faille zero-day MWEB, effaçant trois heures d’historique
Message de Gate News, 26 avril — Le Litecoin a subi une profonde réorganisation de chaîne (reorg) samedi après que des attaquants ont exploité une vulnérabilité zero-day dans sa couche de confidentialité MimbleWimble Extension Block (MWEB), selon la Litecoin Foundation. Le bug a permis à des nœuds de minage exécutant un logiciel plus ancien de
GateNewsIl y a 4h
Apecoin Insider transforme $174K en 2,45 M$ en une journée grâce à un trading 14x des deux côtés d’une hausse de 80%
Un portefeuille anonyme sans historique de trading antérieur a transformé pour 174 000 $ d’ether en 2,45 millions de dollars en négociant Apecoin des deux côtés d’une hausse de prix de 80% sur une seule journée.
Points clés :
Le portefeuille 0x0b8a a converti 174 000 $ en ETH en une position longue sur Apecoin avec effet de levier, en sortant près du sommet pour un gain de 1,79 M$
CoinpediaIl y a 5h
La police de Hong Kong démantèle un réseau de fraude transfrontalière visant des étudiants à l’étranger, saisissant HK$5M en actifs
Message de Gate News, 26 avril — La police de Hong Kong a démantelé un réseau de fraude transfrontalière qui visait des étudiants chinois à l’étranger, selon les médias locaux. Le syndicat s’est fait passer pour des responsables de l’application de la loi et a contraint les victimes à se rendre à Hong Kong afin d’acheter des lingots d’or comme « c
GateNewsIl y a 5h
La réorganisation de Litecoin annule l’exploit de la couche de confidentialité MWEB
Litecoin a subi une profonde réorganisation de chaîne samedi après que des attaquants ont exploité une vulnérabilité zero-day dans sa couche (MWEB) de confidentialité de l’extension MimbleWimble, selon la Litecoin Foundation. L’incident a entraîné une réorg de trois heures qui a effacé des transactions invalides de la
CryptoFrontierIl y a 10h
Escroquerie par faux travaux IT de North Korea « Laptop Farm » : un complice américain condamné à 7 à 9 ans, 2 ans ont permis d’encaisser 2,8 milliards de dollars
Fortune a rapporté que la Corée du Nord, via des fermes de laptops situées à l’intérieur des États-Unis, a généré au total environ 2,8 milliards de dollars de revenus sur deux ans pour financer des armes nucléaires ; des prélèvements annuels de 250 à 600 millions de dollars. Les suspects américains Kejia Wang et Zhenxing Wang ont été respectivement condamnés à 7,5 ans et 9 ans, pour des faits impliquant plus de 100 entreprises et le vol d’identité de 80 personnes. La Corée du Nord opère aux États-Unis grâce à des identités américaines et des dispositifs fixes, les fonds étant majoritairement convertis et transférés via des cryptomonnaies. Des experts mettent en garde : le réseau de complices dans le pays demeure, et les entreprises doivent renforcer la vérification d’identité, le suivi des adresses et l’analyse des fuseaux horaires/IP.
ChainNewsAbmediaIl y a 14h
La police de Hong Kong met en garde contre une hausse des escroqueries en crypto ; Deux femmes perdent 1,24 M$ au cours des dernières semaines
Communiqué de Gate News, 25 avril — Deux femmes de Hong Kong ont perdu, au total, 9,7 millions de HK$ (US$1,24 million) à des escrocs en crypto au cours des dernières semaines, ce qui a incité la police locale à émettre un avertissement public. La police de Hong Kong a signalé plus de 80 affaires de fraude en une seule semaine, avec des pertes totales dépassant HK$80 million (U
GateNewsIl y a 14h
