Un attaquant a drainé 116 500 rsETH du pont LayerZero de Kelp DAO lors du plus grand exploit DeFi de 2026, déclenchant des gels d'urgence sur Aave, SparkLend et Fluid.
Kelp DAO a perdu 292 millions de dollars en rsETH après qu'un attaquant ait exploité une vulnérabilité dans le pont interchaines de la plateforme utilisant LayerZero, ce qui en fait le plus grand exploit DeFi de 2026.
Le 18 avril, un attaquant a manipulé la couche de messagerie interchaines de LayerZero pour tromper le pont de Kelp DAO en le forçant à libérer 116 500 rsETH, soit environ 18% de l'offre circulante du jeton. Le drainage s'est produit à 17h35 UTC par un appel à la fonction lzReceive sur le contrat EndpointV2 de LayerZero, ce qui a déclenché la libération de fonds vers une adresse contrôlée par l'attaquant.
Le multisig pauseur d'urgence de Kelp a gelé les contrats principaux de la plateforme 46 minutes plus tard à 18h21 UTC. Deux tentatives ultérieures à 18h26 et 18h28 UTC, chacune portant des paquets LayerZero pour 40 000 rsETH supplémentaires d'une valeur d'environ 100 millions de dollars, ont été bloquées par le gel. L'attaquant a utilisé Tornado Cash pour financer le portefeuille initial et a ensuite utilisé les rsETH volés comme garantie sur Aave V3 pour emprunter ETH et WETH avant de router les fonds par Tornado Cash à nouveau.
L'exploit est le plus grand incident de sécurité DeFi de cette année, surpassant le piratage du protocole Drift de plusieurs millions de dollars. Plus important encore, le drainage a affecté les réserves de rsETH soutenant le jeton sur plus de 20 réseaux, ce qui soulève des questions sur la solvabilité de rsETH sur les chaînes de couche 2.
Aave, SparkLend, Fluid et Upshift ont tous gelé les marchés liés à rsETH dans les heures suivantes par mesure de précaution. Le prix du jeton AAVE a chuté d'environ 10% après l'incident. L'événement ajoute une nouvelle pression au débat sur la sécurité des ponts interchaines, qui a été un point faible récurrent pour DeFi depuis les exploits Wormhole et Ronin des années précédentes. L'enquêteur de la chaîne ZachXBT a signalé l'exploit tôt et a retracé les mouvements de l'attaquant sur les marchés de prêts DeFi d'Ethereum.
Kelp DAO n'a pas encore publié de post-mortem ou révélé si un plan de récupération était en cours. Les questions clés maintenant sont de savoir si la plateforme peut négocier un retour des fonds (comme certains exploitants l'ont fait par le passé), et comment Aave et les autres protocoles de prêt géreront la mauvaise dette potentielle créée par les positions d'emprunt de l'attaquant. Le modèle de sécurité de LayerZero est également sous le feu des projecteurs, car l'attaque a exploité la couche de messagerie plutôt que les contrats intelligents de Kelp eux-mêmes.
Ceci est une histoire en développement. L'exploit de Kelp DAO de 292 millions de dollars met en évidence les risques persistants dans l'infrastructure des ponts interchaines, même que l'écosystème DeFi au sens large continue de croître. Les utilisateurs affectés doivent surveiller les canaux officiels de Kelp DAO pour les mises à jour sur les efforts de récupération des fonds.
Avertissement: Le contenu des actualités est fourni à titre informatif uniquement et ne doit pas être considéré comme un conseil financier. Les conditions du marché peuvent changer rapidement. Effectuez toujours vos propres recherches.
