Le vol de 292 millions de dollars en rsETH de Kelp DAO a paralysé Aave et l’ensemble de l’écosystème DeFi

Kelp DAO perd 292 millions de dollars suite à un empoisonnement de nœuds RPC attribué à Lazarus Group. La configuration DVN vulnérable a permis l’acceptation d’un message falsifié.

Le Protocole d’interopérabilité décentralisé LayerZero a révélé qu’une configuration inadéquate du réseau de vérificateurs décentralisés (DVN) de Kelp a permis à des acteurs malveillants de dérober 290 millions de dollars à Kelp DAO. Les premières investigations suggèrent l’implication d’acteurs de menace liés à la Corée du Nord. Samedi, un attaquant a exploité le bridge rsETH alimenté par LayerZero de Kelp DAO, drainant environ 116 500 Restaked ETH (rsETH), d’une valeur estimée à 292 à 293 millions de dollars à l’époque. LayerZero a indiqué lundi que cette faille provenait d’un point de défaillance unique dans la configuration de Kelp, qui reposait uniquement sur un seul DVN LayerZero comme seul chemin vérifié, malgré les avertissements précédents de LayerZero concernant ce risque.

Le fondateur de OneKey, Yishi, a mentionné : « Le meilleur résultat maintenant serait de négocier avec le hacker, d'offrir une prime de 10 à 15 %, de récupérer la majorité, et tout le monde serait heureux. Si la négociation échoue, le fonds écosystémique de LayerZero peut couvrir la majorité, car il est le plus riche et a le plus d'intérêts à long terme, permettant à l'écosystème OFT d'être préservé. Kelp DAO est le plus pauvre, soit une compensation en tokens + revenus futurs, soit simplement vendre l'ensemble du projet à LayerZero ou Bitmine. L'ombrelle d'Aave et stkAAVE fournissent le soutien ultime, mais les déposants de WETH ne doivent absolument pas supporter la perte, sinon Morpho, Spark, Fluid, Euler connaîtront tous une revalorisation, la piste LRT sera entachée, et l'ensemble de l'industrie DeFi régressera de trois ans. »

MoneySupply, le chef pseudonyme de la stratégie du protocole de prêt concurrent d'Aave, Spark : « Cette faible liquidité présente un risque de sécurité critique où les liquidations de Actifs collatéraux / Actifs de garantie ETH ne peuvent pas avoir lieu pendant que les marchés sont à 100 % d'utilisation … Avec les conditions d'illiquidité actuelles sur Aave, une baisse de prix ETHUSD de 15 à 20 % pourrait entraîner une accumulation importante de créances douteuses (en plus de tout problème potentiel attribuable à l'exploit direct de rsETH). »

Le groupe de hackers nord-coréen Lazarus Group serait à l’origine de l’exploit de Kelp DAO du 18 avril, qui a entraîné le vol de 116 500 tokens rsETH, d’une valeur de 292 millions de dollars. Dans son rapport d’enquête publié le 20 avril, LayerZero attribue cette attaque au sous-groupe TraderTraitor. Cet incident s’impose comme le plus important exploit DeFi de l’année. Les pirates ont compromis deux nœuds RPC du réseau de vérification décentralisé (DVN) de LayerZero Labs, en injectant un faux message cross-chain qui a été accepté par le bridge. Simultanément, une attaque DDoS a ciblé les nœuds sains, forçant le DVN à se reposer sur les nœuds compromis. Les tokens volés ont ensuite été transférés vers Aave V3, où le rsETH a été utilisé comme collatéral pour emprunter d’importantes quantités de WETH. Cette manœuvre a généré des dettes sur le protocole de prêt, obligeant Aave à geler les marchés rsETH sur ses versions V3 et V4. L’attaque a déclenché une vague de retraits sur Aave et a contraint plusieurs protocoles du secteur à mettre en place des pauses d’urgence. Le cours d’AAVE a chuté de 3,12% sur 24 heures, atteignant 91,1 dollars, après une baisse déjà significative sur les deux jours précédents. Aave a déclaré avoir immédiatement gelé tous les rsETH dans Aave v3 et V4, empêchant d'autres dommages. Les propres contrats intelligents d'Aave n'ont pas été exploités.

En avril 2026, les protocoles crypto ont subi des pertes colossales de plus de 606 millions de dollars à cause de hacks en seulement 18 jours. Ce mois-là s’impose ainsi comme le pire jamais enregistré pour des cyberattaques depuis février 2025.