Retour à l'accueil

Vol de 292M $ de Kelp DAO : Détails de l'attaque du pont

Une attaque de hacker sur le protocole Kelp DAO a entraîné une perte de 292M $ via une vulnérabilité dans le pont inter-chaînes. L'équipe a suspendu les contrats, évitant d'autres pertes. L'incident a provoqué une baisse d'AAVE et un gel des marchés rsETH.

Plus grand piratage de l'année : 292M $ volés à Kelp DAO
Advertisement 728x90

Le plus gros braquage de l'année : un pirate vide 292 M$ du protocole Kelp DAO via un pont inter-chaînes

Une attaque de pirate informatique contre le protocole de restaking liquide Kelp DAO a entraîné la perte de plus de 116 000 jetons rsETH, soit environ 292 millions de dollars. L'incident s'est produit dans la soirée du 20 avril 2026 et figure parmi les plus importants de l'histoire de la DeFi. L'attaquant a exploité une vulnérabilité dans le pont inter-chaînes standard OFT, permettant de vider les fonds en quelques minutes. L'équipe du projet a rapidement suspendu les opérations des contrats, évitant ainsi 100 millions de dollars de pertes supplémentaires.

Mécanisme de l'attaque et ampleur des dégâts

L'attaquant a préfinancé un portefeuille via le mixeur Tornado Cash environ 10 heures avant l'attaque. À 17h35 UTC, la fonction lzReceive a été déclenchée dans le contrat LayerZero, après quoi le pont a automatiquement transféré 116 500 jetons rsETH (environ 18 % de l'offre totale de 630 000 jetons) vers une adresse contrôlée par le pirate. Les réseaux Ethereum et Arbitrum ont supporté l'essentiel des pertes. Les tentatives de retrait de 40 000 rsETH supplémentaires (100 millions de dollars) ont été bloquées par le système d'arrêt d'urgence activé 46 minutes après l'attaque.

Réponse de l'équipe et impact sur l'écosystème

Les développeurs de Kelp DAO ont activé une pause d'urgence affectant le pool de dépôt, le contrat de retrait, l'oracle et le jeton rsETH lui-même. Les opérations ont été suspendues sur le mainnet et plusieurs réseaux de couche 2. L'incident a provoqué une panique sur le marché : le jeton AAVE a chuté de 10 % en raison des craintes de dettes problématiques sur la plateforme de prêt. L'équipe d'Aave a gelé les marchés rsETH dans V3 et V4, soulignant que la vulnérabilité était spécifique à rsETH, et non à leurs contrats intelligents.

Google AdInline article slot

Vulnérabilité du pont inter-chaînes

L'attaque a une fois de plus mis en lumière les problèmes de sécurité des ponts inter-chaînes, qui sont des cibles fréquentes des pirates. Le pont standard OFT utilisé par Kelp DAO permet les transferts de jetons sur plus de 20 blockchains, notamment Base, Arbitrum, Linea, Blast, Mantle et Scroll. Les experts notent que la complexité de ces systèmes augmente la surface d'attaque, et l'utilisation de mixeurs comme Tornado Cash complique le traçage des fonds.

Points clés à retenir

  • Le pirate a vidé 292 millions de dollars, soit 18 % de tous les jetons rsETH.
  • L'attaque a été rendue possible par une vulnérabilité dans le pont inter-chaînes standard OFT.
  • Kelp DAO a évité 100 millions de dollars de pertes supplémentaires en arrêtant les contrats.
  • L'incident a provoqué une baisse de 10 % du prix d'AAVE et le gel des marchés rsETH sur Aave.
  • Les pistes mènent à Tornado Cash, compliquant l'identification de l'attaquant.

— Editorial Team

Advertisement 728x90

Lire ensuite