Une faille de Kelp DAO déclenche une alerte de sécurité sur les ponts inter-chaînes : DeFi United collecte 300 millions de dollars pour compenser les détenteurs de rsETH

Le 18 avril 2026 à 17h35 UTC, un attaquant a exploité une vulnérabilité de pont rsETH basé sur l’infrastructure inter-chaînes LayerZero de Kelp DAO, en déguisant un paquet de données entrant pour libérer 116 500 rsETH, d’une valeur d’environ 292 millions de dollars à l’époque. Les enquêtes de Chainalysis et ZachXBT ont toutes deux attribué cette attaque au groupe Lazarus de Corée du Nord, qui a contourné la sécurité du réseau de validation unique en combinant attaques DDoS sur des nœuds externes et manipulation de nœuds RPC internes.

Ce n’est pas une vulnérabilité classique de contrat intelligent — pas d’attaque par réentrée, pas de manque d’autorisations, pas de manipulation d’oracle de prix. La véritable faille résidait dans le fait que Kelp DAO utilisait une configuration DVN 1-of-1 à point unique, dépendant uniquement d’un seul nœud de validation exploité par LayerZero Labs. Lorsqu’un lecteur RPC de ce nœud a été trompé avec succès, le contrat de pont sur Ethereum a libéré de faux messages inter-chaînes pour rsETH, sans que aucun second nœud de validation ne puisse intervenir pour vérifier.

L’attaquant n’a pas vendu directement le rsETH volé sur le marché, mais a déposé environ 90 000 rsETH en tant que collatéral sur Aave V3, empruntant pour environ 190 millions de dollars en ETH et autres actifs. Cette opération a mis Aave en situation de dette importante. La TVL d’Aave est passée rapidement de 26,4 milliards à 17,9 milliards de dollars, et plus de 13 milliards de dollars de fonds ont quitté le réseau DeFi en peu de temps.

Au 29 avril 2026, selon les données de marché de Gate, le prix de l’ETH oscillait autour de 2 300 USD. Après l’attaque, le prix du rsETH est tombé à 1 723 USD, créant un écart d’environ 500 USD avec l’ETH, reflétant la panique du marché face à un rsETH sans garantie.

Ce qui est encore plus inquiétant, c’est que cet incident n’est pas isolé. Au premier trimestre 2026, les protocoles DeFi ont subi pour environ 168,6 millions de dollars de pertes dues à des attaques de hackers ; en seulement 20 jours d’avril, ces pertes ont atteint 606,2 millions de dollars — un record mensuel depuis février 2025.

Pourquoi un seul nœud de validation constitue-t-il une faille fatale pour l’infrastructure DeFi ?

L’attaque contre Kelp DAO a révélé un problème structurel longtemps sous-estimé : le déséquilibre dans la configuration de sécurité inter-chaînes. Dans l’architecture LayerZero, chaque message inter-chaînes doit être vérifié par un ou plusieurs réseaux de validation décentralisés pour atteindre la chaîne cible. Mais le pont rsETH de Kelp DAO ne comptait qu’un seul nœud de validation — le DVN de LayerZero Labs — créant ainsi un point de défaillance unique.

Ce phénomène n’est pas isolé. Plus la logique du pont inter-chaînes est simple, moins il y a de nœuds de validation, afin d’accélérer la confirmation des messages et réduire les coûts en gaz. Cependant, lorsqu’un seul nœud de validation exécute la fonction de « témoin », un attaquant n’a qu’à compromettre cette seule chaîne — RPC, serveur de validation ou permissions du personnel — pour contourner toute vérification inter-chaînes.

Ce qui est encore plus alarmant, c’est que la méthode de l’attaquant est presque invisible pour les outils de surveillance traditionnels. Chaque transaction sur la chaîne semble parfaitement légitime : le message est relayé, la signature vérifiée, le contrat cible exécute la requête inter-chaînes avec la réponse appropriée. La manipulation ne concerne pas le code du contrat intelligent, mais la couche de vérification hors chaîne qui décide si cette opération doit être approuvée ou non.

Ce type d’attaque marque un changement majeur dans la frontière de sécurité de DeFi : les vulnérabilités des contrats intelligents ne sont plus la seule source de risque systémique. L’infrastructure périphérique des ponts inter-chaînes — nœuds RPC, réseaux de validation, services de signatures hors chaîne — devient une surface d’attaque de plus en plus grande. En 2026, cette tendance s’accélère. Les attaques contre Kelp DAO et Drift Protocol représentaient ensemble 95 % des pertes totales d’avril, indiquant que les attaquants ont systématiquement étendu leur cible du seul contrat intelligent à toute la couche infrastructurelle de DeFi.

Il est à noter qu’au cours des 4,5 premiers mois de 2026, 47 attaques de hackers ont été recensées dans le secteur crypto, contre 28 sur la même période en 2025 — une augmentation annuelle d’environ 68 %.

Comment la décentralisation du prêt a-t-elle propagé une crise de liquidité de 13 milliards de dollars en cascade ?

L’essence de l’attaque ne résidait pas simplement dans le vol de tokens, mais dans la transmission du risque à travers la composabilité de DeFi. Le rsETH falsifié a été distribué à 7 adresses différentes, utilisé comme collatéral dans plusieurs protocoles de prêt comme Aave et Compound. Étant donné que ces rsETH ne sont soutenus par aucun actif réel sur la chaîne, leur utilisation comme garantie injecte en fait un « chèque en blanc » dans le marché du prêt.

Une fois ces faux collatéraux utilisés pour emprunter de l’ETH réel, le risque est profondément lié aux mécanismes de liquidation, aux réserves de liquidité et à la sécurité des dépôts des utilisateurs. Aave doit faire face à deux pressions : d’un côté, la valeur du rsETH comme garantie est incertaine, augmentant le risque de créances douteuses ; de l’autre, la panique du marché pousse les utilisateurs à retirer massivement leur liquidité, réduisant la capacité du protocole à couvrir ses pertes. Après l’incident, le Conseil de sécurité d’Arbitrum a gelé 30 766 ETH liés à l’attaquant, limitant ainsi l’expansion des pertes.

Plus important encore, cet incident illustre l’effet négatif de la « composabilité » en DeFi : lorsque la dépendance entre protocoles est trop forte, une défaillance structurelle dans un seul peut rapidement devenir un risque systémique pour tout l’écosystème, au prix d’un coût partagé entre déposants et arbitragistes inter-protocoles.

Comment un fonds de 303 millions de dollars peut-il construire une soupape de sécurité pour DeFi ?

Au 27 avril 2026, le plan de secours de DeFi United, coordonné par Stani Kulechov, fondateur d’Aave, a rassemblé plus de 303 millions de dollars en promesses de fonds. Ces fonds proviennent de plusieurs acteurs clés de l’écosystème Ethereum, sous forme de dons, dépôts ou lignes de crédit flexibles.

Plus précisément, les participants engagés comprennent : Consensys et son fondateur Joseph Lubin, promettant jusqu’à 30 000 ETH ; Mantle avec une ligne de crédit de 30 000 ETH ; la proposition de l’Aave DAO de 25 000 ETH ; EtherFi avec jusqu’à 5 000 ETH ; Lido avec une proposition de gouvernance pour 2 500 stETH ; Compound avec une subvention de 3 000 ETH ; Renzo avec plus de 10 millions de dollars en fonds de réserve ; Babylon Foundation avec 3 millions USDT ; Circle Ventures en achetant des tokens AAVE ; ainsi que Avalanche Foundation, Solana Foundation et Sun Yuchen, dont les montants ne sont pas encore divulgués.

Il est à noter que LayerZero, le protocole inter-chaînes, a rejoint le fonds de secours 5 jours après l’incident avec une promesse de 10 000 ETH, dont 5 000 ETH directement donnés à DeFi United, et 5 000 ETH déposés dans Aave pour renforcer sa liquidité. Puffer Finance a annoncé le 29 avril avoir mobilisé ses fonds pour participer à l’effort de secours, devenant un acteur clé dans cette initiative de ré-pledge.

L’ensemble du fonds de secours a dépassé 100 360 ETH, la plus grande coordination de fonds inter-protocoles jamais vue dans l’histoire de DeFi, marquant une étape majeure dans la réponse collective à une crise systémique.

Comment la substitution progressive de collatéraux de fraude et la migration vers ETH par lots peuvent-elles être mises en œuvre étape par étape ?

Le plan de DeFi United prévoit une exécution par phases, visant à restaurer complètement la valeur des actifs soutenant rsETH et à combler les pertes laissées par le hacker nord-coréen dans Aave et Compound. La stratégie consiste à frapper par étapes de l’ETH promis pour reconstituer la valeur sous-jacente de rsETH. Avant cela, le protocole ajustera temporairement la valeur de l’oracle lors de l’utilisation de rsETH comme garantie pour initier une liquidation contrôlée. Les tokens récupérés seront envoyés à un multi-signature wallet de DeFi United, puis échangés contre de l’ETH via le processus standard de Kelp, pour couvrir le déficit du marché de prêt affecté.

Ce plan prend aussi en compte les contraintes de gouvernance décentralisée : la majorité des fonds promis doit encore être approuvée par des votes DAO dans chaque protocole concerné, ce qui implique que la mise en œuvre dépendra de l’efficacité de la coordination entre plusieurs processus de gouvernance.

L’objectif n’est pas de payer l’attaquant, mais de restaurer la valeur intrinsèque des collatéraux pour réduire l’impact secondaire sur les utilisateurs et la liquidité des protocoles. La logique est la suivante : si DeFi laisse des actifs sans garantie accumuler des créances douteuses, c’est tout le crédit de l’éc