292 millions de dollars ont été alertés 12 jours à l'avance par un outil avec 47 étoiles sur GitHub

20 avril 2026 | 9527TEAM

I. Événement

Le 7 avril, un outil d’audit AI open source a publié un rapport.

Ce rapport a précisément identifié une vulnérabilité dans la configuration du nœud de validation LayerZero cross-chain bridge 1-of-1 de Kelp DAO. Le rapport a été étoilé 47 fois.

Le 19 avril, Kelp DAO a été attaqué par un hacker. La perte s’élève à 292 millions de dollars.

Ce n’est pas une défaillance technique. C’est une défaillance humaine.

II. Que s’est-il passé en 12 jours

Le 7 avril, le rapport d’alerte a été publié.

Sur GitHub, 47 personnes ont mis une étoile. Probablement quelques chercheurs, quelques joueurs DeFi, peut-être aussi quelques développeurs suivant sérieusement le contrat Kelp.

Et alors ?

Et puis, il n’y a pas eu de suite.

Le rapport n’a pas été pris en compte par l’équipe Kelp. Aucune réponse d’urgence n’a été déclenchée. Il n’a pas été largement diffusé via une liste de diffusion de sécurité. Il n’a pas été relayé par les médias mainstream.

Le 19 avril, le hacker a utilisé la même méthode pour transférer 292 millions de dollars.

12 jours. Suffisamment pour faire beaucoup de choses.

Un groupe Telegram aurait pu se former. Un audit de sécurité aurait pu être terminé. Un protocole aurait pu être suspendu.

Mais rien de tout cela ne s’est produit.

III. Pourquoi personne n’a écouté

C’est une question encore plus difficile que celle de 292 millions de dollars.

Une explication possible : ceux qui ont vu ce rapport n’avaient pas assez d’autorité ou d’influence pour pousser l’équipe Kelp à agir. C’est courant dans le monde open source — vous découvrez une vulnérabilité, vous l’envoyez, mais l’autre partie n’a aucune obligation de répondre.

Une autre possibilité : ils ont vu, mais n’ont pas compris la gravité de la faille. Le problème de configuration du nœud de validation 1-of-1 de LayerZero, aux yeux d’un non-professionnel, pourrait simplement apparaître comme une “recommandation de configuration”, et non comme une alerte rouge “arrêtez immédiatement toutes les opérations cross-chain”.

La troisième, la plus glaçante : certains ont vu, ont le pouvoir de faire bouger les choses, mais ont choisi de ne pas parler.

Quelle que soit la raison, la conclusion est la même : nous avons des outils, des données, des préventions, mais 292 millions de dollars ont quand même disparu.

IV. Ce n’est pas un cas isolé

Le même jour, le CEO de Vercel, Guillermo Rauch, a publié un tweet :

Les employés de Vercel ont été infiltrés via un cookie compromis divulgué par une plateforme d’IA, ce qui leur a permis d’obtenir des accès internes. Le groupe de hackers est très spécialisé. “Je soupçonne fortement que cette attaque a été grandement accélérée par l’IA.”

Ce n’est pas un incident de sécurité lié à l’IA. C’est une intrusion classique via cookie. Mais l’IA rend l’intrusion plus rapide, moins coûteuse, et plus difficile à traquer.

Le point de vue du CEO de Box, Aaron Levie, pourrait être une réponse plus directe :

“Les ingénieurs qui utilisent l’IA sont beaucoup plus productifs que ceux qui ne l’utilisent pas.”

Quand les attaquants accélèrent avec l’IA, et que les défenseurs s’appuient encore sur des réponses manuelles — ce combat n’est pas équitable dès le départ.

V. Quand le système d’alerte échoue

Nous vivons à une époque où les alertes explosent.

Sur GitHub, il y a d’innombrables recherches en sécurité. Sur Twitter, des analystes en renseignement. Sur la blockchain, des outils de surveillance. Chaque jour, des vulnérabilités sont découvertes à l’avance, publiées, discutées largement.

Mais il y a un énorme fossé entre le nombre d’alertes et celles qui sont réellement traitées.

Ce fossé n’est pas un problème technique. C’est une question de mécanismes d’incitation.

Les chercheurs en sécurité découvrent des vulnérabilités → ils les signalent aux projets → les projets ne répondent pas → les chercheurs divulguent publiquement → les projets répondent enfin, mais il est déjà trop tard.

C’est le scénario standard de la sécurité Web3. Il se répète chaque année.

Kelp n’est que le dernier nom.

VI. La phrase du Chief Scientist d’OpenAI

Le même jour, le podcast MAD a publié une interview du Chief Scientist d’OpenAI.

Il a dit une phrase qui m’a fait réfléchir encore et encore :

“Une grande partie du travail intellectuel sera automatisée. Cela soulèvera d’énormes problèmes de gouvernance : une organisation IA contrôlée par quelques personnes, peut-elle encore être appelée ‘entreprise’ ?”

Il parlait des entreprises IA. Mais cette phrase s’applique aussi à la DeFi.

Quand le protocole est contrôlé par une minorité, quand les alertes de sécurité sont ignorées par une minorité, quand 292 millions de dollars peuvent disparaître en 12 jours — ce n’est pas de la finance décentralisée. C’est simplement transférer le risque centralisé aux hackers anonymes.

VII. Ce que nous avons appris

Premièrement, les outils ne suffisent pas. Un outil d’alerte avec 47 étoiles sur GitHub est à des années-lumière d’un vrai système d’alerte efficace.

Deuxièmement, le mécanisme d’incitation est crucial. Si les chercheurs ne sont pas récompensés pour leurs découvertes, si les projets n’ont pas de conséquences à ignorer les alertes, alors ces alertes existeront indéfiniment sans être traitées.

Troisièmement, l’IA change la donne en matière d’attaque et de défense. Les attaquants accélèrent avec l’IA, les défenseurs ne peuvent plus répondre manuellement. Les 292 millions de dollars de Kelp ne sont peut-être que le début de l’ère des attaques pilotées par l’IA.

Nous sommes le 20 avril 2026.

Le prochain 292 millions de dollars pourrait déjà dormir dans un coin de GitHub, attendant le 48e étoile.

Source : PANews · Tweet du CEO de Vercel Guillermo Rauch · Tweet du CEO de Box Aaron Levie · MAD Podcast Ep84 · Interview du Chief Scientist d’OpenAI