Points clés
- Un attaquant a drainé 116 500 rsETH du bridge Kelp DAO le 19 avril 2026, soit 292 millions de dollars.
- L’exploit a détourné le contrat EndpointV2 de LayerZero pour simuler un message cross-chain valide.
- Aave, Compound, Fluid, SparkLend et Euler ont gelé leurs marchés rsETH en urgence.
- Le TVL DeFi a fondu de 13,21 Md$ en 48 heures selon DefiLlama, dont 8,45 Md$ chez Aave seul.
- Il s’agit du plus gros exploit DeFi recensé en 2026, devant celui du DEX Drift.
Kelp DAO perd 292 M$ dans un exploit de bridge LayerZero
Un pirate a drainé 116 500 rsETH, soit 292 millions de dollars, depuis le bridge cross-chain de Kelp DAO basé sur LayerZero le dimanche 19 avril 2026. L’attaque a visé un protocole de restaking liquide dont le jeton rsETH sert de collatéral sur une dizaine de plateformes de prêt. Elle entre dans l’histoire comme le plus gros exploit DeFi recensé cette année, devant celui du DEX Drift.
Contexte : un restaking liquide devenu central
Kelp DAO fait partie des principaux protocoles de restaking liquide construits sur EigenLayer. Son jeton rsETH représente une position stakée sur Ethereum, utilisée comme collatéral sur Aave, Lido et Rocket Pool. Cette composabilité aiguise le risque : une seule faille se propage à tout l’écosystème qui accepte le jeton.
Le rsETH capitalisait plus de 900 millions de dollars avant l’attaque selon les données de DefiLlama. LayerZero, la messagerie cross-chain utilisée par Kelp, sécurise plus de 70 milliards de dollars d’actifs bridgés en avril 2026. Une faille à ce niveau est un événement systémique, pas un incident isolé.
Les détails techniques de l’attaque
Selon l’analyse on-chain publiée par CoinDesk et PeckShield, l’attaquant a trompé la couche de messagerie cross-chain de LayerZero en lui faisant croire qu’une instruction valide arrivait d’un autre réseau. Le contrat EndpointV2 a alors déclenché la libération de 116 500 rsETH sur une adresse contrôlée par le pirate.
Le wallet malveillant avait été financé environ dix heures plus tôt via Tornado Cash, un schéma classique dans les exploits DeFi pour brouiller la traçabilité. Une fois le rsETH en main, l’attaquant l’a rapidement déposé comme collatéral sur Aave pour emprunter plus de 200 millions de dollars en wrapped ether avant que la communauté ne comprenne que le jeton n’était plus couvert.
« L’exploit n’est pas un bug applicatif isolé, c’est une erreur de validation au niveau de l’infrastructure de messages », a commenté Tarang Khanna, chercheur chez Quantstamp, dans un fil publié le 19 avril.
Analyse rapide : l’onde de choc gagne tout le DeFi
Aave, Compound Finance, Fluid, SparkLend et Euler ont gelé leurs marchés rsETH en urgence. Les positions combinées sur ces plateformes atteignaient environ 236 millions de dollars au moment de l’exploit. Le TVL total de la DeFi a perdu 13,21 milliards de dollars en 48 heures selon DefiLlama, dont 8,45 milliards pour Aave seul. La fuite de capitaux se poursuivait le 20 avril.
FAQ
Combien d’ETH ont été drainés de Kelp DAO ?
L’attaquant a drainé 116 500 rsETH, valorisés à environ 292 millions de dollars le 19 avril 2026. Les fonds sont éparpillés sur vingt réseaux via des wrapped ether, ce qui complique leur récupération par les équipes on-chain.
Dois-je retirer mes positions Aave ou Compound ?
Les marchés rsETH sont gelés, pas les autres collatéraux. Les positions sur ETH natif, USDC ou wBTC ne sont pas directement affectées. Si vous détenez du rsETH, vérifiez la procédure officielle de Kelp DAO et la liste des wrapped ether stoppés sur les différents réseaux.
À suivre
Kelp DAO a promis un rapport post-mortem dans les 72 heures et discute une compensation avec les protocoles impactés. Le suivi du TVL DeFi et la décision d’Aave sur les paramètres rsETH seront à surveiller. Notre analyse des risques comparés sur Ondo, Maple et Centrifuge reste pertinente dans ce contexte.
