L’exploit rsETH de 292 millions de dollars expose des risques inter-chaînes, forçant la fermeture de Kelp et le gel du marché d’Aave en raison de problèmes de créances irrécouvrables.
Une faille de sécurité majeure a frappé Kelp DAO, laissant le protocole ébranlé après un exploit inter-chaînes à grande échelle. Tôt samedi, un attaquant a vidé une partie importante de son approvisionnement en rsETH via une vulnérabilité présumée de LayerZero. Les données en chaîne indiquent une opération soigneusement préparée impliquant des outils d’obscurcissement et des appels de contrat ciblés. Les réactions du marché ont suivi rapidement, avec des effets d’entraînement sur les plateformes DeFi associées.
Kelp DAO gèle le protocole après une tentative d’exploitation inter-chaînes de 292 millions de dollars
Les attaquants ont siphonné environ 116 500 rsETH, d’une valeur de près de 292 millions de dollars aux prix actuels. Les enregistrements de la blockchain montrent que la fuite s’est produite à17h35 UTCvia un appel à la fonction « lzReceive » sur le contrat EndpointV2 de LayerZero. Cet appel a déclenché le système de pont de Kelp pour débloquer des fonds directement à une adresse contrôlée par un attaquant.
Le financement de l’exploit remonte à environ 10 heures. L’attaquant a utilisé le pool 1-ETH de Tornado Cash, une méthode souvent associée à l’obscurcissement des transactions. Peu de temps après la violation, l’enquêteur blockchain ZachXBTa signalé l’incident, estimant les pertes supérieures à 280 millions de dollars sur Ethereum et Arbitrum.
Kelp DAO a répondu dans l’heure, au cours de laquelle son multisig d’urgence a exécuté une fonction « pauseAll » sur les contrats clés. Les systèmes concernés comprenaient le pool de dépôt LRT, le module de retrait, Oracle et le jeton rsETH lui-même. Cette décision a mis fin à d’autres dégâts et empêché des retraits supplémentaires.
Deux tentatives de suivi de l’attaquant ont échoué.Transactions à 18h26 et 18h28 UTCa tenté de drainer 40 000 rsETH supplémentaires, d’une valeur d’environ 100 millions de dollars. Les deux ont été rejetés en raison de l’état de pause du protocole. Sans cette intervention, les pertes totales auraient pu grimper à près de 391 millions de dollars.
Plus tôt dans la journée, nous avons identifié une activité inter-chaîne suspecte impliquant rsETH. Nous avons suspendu les contrats rsETH sur le réseau principal et plusieurs L2 pendant que nous enquêtons.
Nous travaillons avec@LayerZero_Core,@unichain, nos auditeurs et les meilleurs experts en sécurité sur RCA.
Nous vous garderons…
– Varech (@KelpDAO)18 avril 2026
Kelp a ensuite confirmé « une activité inter-chaînes suspecte » dans une déclaration publique publiée à 20h10 UTC. L’équipe a déclaré avoir suspendu les contrats sur le réseau principal et plusieurs réseaux de couche 2 pendant l’enquête. Une collaboration est en cours avecCoucheZéro, Unichain, auditeurs et spécialistes externes de la sécurité.
Aave gèle les marchés rsETH après que l’exploitation du pont Kelp ait suscité des craintes de créances irrécouvrables
L’accent s’est tourné vers le pont Omnichain Fungible Token de Kelp. Ce système permet les transferts rsETH à travers les réseaux et semble être au cœur du chemin d’exploitation. Le montant volé représente environ 18 % de l’offre en circulation de rsETH, estimée à 630 000 jetons. L’actif fonctionne sur plus de 20 réseaux, dontArbitrage, Base et Défilement.
Les ondes de choc se sont propagées à d’autres protocoles, notamment aux marchés des prêts. L’AAVE a chuté d’environ 10 % aprèsrapportsque la plateforme pourrait être exposée à des créances irrécouvrables liées aux positions rsETH. En réponse, Aave a gelé les marchés rsETH sur les déploiements V3 et V4.
Les marchés rsETH sur Aave V3 et Aave V4 ont été gelés. Les contrats d’Aave n’ont pas été exploités et il s’agit d’un exploit lié à rsETH.
Le gel fait suite à un exploit du pont Kelp DAO rsETH. Le gel des marchés rsETH empêche de nouveaux dépôts et emprunts contre rsETH…
-Aave (@aave)18 avril 2026
Aave a précisé que ses contrats intelligents n’étaient pas compromis. Au lieu de cela, le problème vient de rsETH lui-même. L’équipe examine actuellement l’activité d’emprunt liée à l’exploit. Les déclarations initiales faisaient référence à l’utilisation potentielle duModule de sécurité parapluie, bien que les mises à jour ultérieures aient adouci cette position. Aave affirme désormais qu’elle examinera les options si des pertes se matérialisent.
Un incident répété déclenche l’alarme sur la sécurité et les risques inter-chaînes de Kelp DAO
L’incident de samedi marque la deuxième perturbation majeure de Kelp DAO en un an. En avril 2025,un bugdans son contrat de frais a provoqué une frappe excessive de rsETH. Cet événement a entraîné une pause temporaire mais n’a pas entraîné de pertes de fonds pour les utilisateurs.
Les conditions actuelles font que le rsETH s’échange à près de 2 500 $, reflétant l’incertitude quant à la stabilité du protocole. Kelp DAO et le co-fondateur Amitej Gajjala n’ont pas encore fourni de détails supplémentaires au-delà des déclarations initiales.
L’attention se porte désormais sur l’analyse des causes profondes et les voies de rétablissement potentielles. L’ampleur de l’exploit soulève des préoccupations plus larges concernant la sécurité des ponts inter-chaînes. Alors que les enquêtes se poursuivent, les utilisateurs et les protocoles liés au rsETH sont confrontés à des risques accrus et à une incertitude permanente.
Source : Live Bitcoin News
Laisser un commentaire