La récente exploitation massive de Kelp DAO soulève des inquiétudes majeures concernant la sécurité des protocoles de finance décentralisée. En effet, près de 116 500 rsETH, évalués à environ 292 millions de dollars, ont été dérobés, remettant en question la fiabilité d’un système déjà en proie à des vulnérabilités.
Une exploitation révélatrice et rapide
Selon des données blockchain, l’attaque sur Kelp DAO a exploitée une faille dans la communication inter-chaînes, ciblant spécifiquement le mécanisme de pontage permettant le transfert d’actifs entre réseaux. L’attaque a été réalisée via un appel à la fonction “Iz Receive” sur l’EndpointV2 de LayerZero, ce qui a provoqué la libération de fonds dans un portefeuille contrôlé par l’attaquant.
Le détecteur de fraudes ZachXBT a été l’un des premiers à identifier cette violation, estimant les pertes à plus de 280 millions de dollars sur Ethereum et Arbitrum. Il a également noté que les adresses utilisées pour l’attaque avaient été initialement financées via Tornado Cash, témoignant d’un effort délibéré pour dissimuler les sources de financement de cette action coordonnée.
Nous avons identifié aujourd’hui une activité inter-chaînes suspecte impliquant le rsETH. Nous avons suspendu les contrats rsETH sur le mainnet et plusieurs L2 pendant notre enquête.
Nous travaillons avec @LayerZero_Core, @unichain, ainsi que nos auditeurs et des experts en sécurité.
Nous vous tiendrons informés…
— Kelp (@KelpDAO) 18 avril 2026
En réponse à cette attaque, Kelp DAO a pris des mesures immédiates, suspendant tous les contrats rsETH sur son mainnet et les réseaux L2 associés, tout en gelant les activités liées à ses contrats principaux concernant les dépôts, les retraits et les fonctions oracle. Le protocole a également lancé une enquête en collaboration avec LayerZero et Unichain.
Notamment, l’attaquant a tenté d’effectuer deux autres transactions pour siphonner encore 40 000 rsETH, représentant près de 100 millions de dollars. Cependant, les actions rapides de Kelp DAO ont permis de contrer ces tentatives, évitant ainsi que les pertes n’atteignent 391 millions de dollars.
Impact sur l’écosystème DeFi avec Aave en première ligne
Les répercussions de cette exploitation ne se limitent pas à Kelp DAO. Les protocoles de prêt tels qu’Aave, l’une des plus grandes plateformes de prêt DeFi, ont ressenti immédiatement la pression. Aave a décidé de geler les marchés rsETH au sein de ses déploiements V3 et V4.
Aave a toutefois précisé que ses propres contrats intelligents n’avaient pas été compromis, et que cette mesure était purement préventive pour limiter toute exposition supplémentaire à la dette liée au rsETH pendant l’évaluation de la situation.
Les marchés rsETH sur Aave V3 et Aave V4 ont été gelés. Les contrats d’Aave n’ont pas été exploités. Ce gel fait suite à l’exploitation du pont rsETH de Kelp DAO.
Cela empêche les nouveaux dépôts et les emprunts contre le rsETH…
— Aave (@aave) 18 avril 2026
Il est important de noter que le rsETH représente un jeton de restaking liquide, permettant aux utilisateurs d’obtenir un rendement supplémentaire à partir de leur ETH staké. Sa fonction au sein de l’écosystème DeFi inter-chaînes est essentielle, facilitant le déplacement de capitaux entre différents réseaux tels qu’Arbitrum, Base et Scroll. La gravité de l’exploitation est d’autant plus frappante que les fonds volés représentent environ 18 % de l’offre totale circulante de rsETH, impactant significativement à la fois la liquidité et la confiance des utilisateurs.
Thomas est le fondateur de La Voix Pop. Journaliste indépendant, il a créé le média pour offrir une information libre, ancrée dans le réel et accessible à tous. Son credo : raconter le monde sans filtre, à hauteur d’humain.
