L’exploit de 292 millions de dollars sur rsETH expose les risques inter-chaînes, forçant l’arrêt de Kelp et le gel du marché Aave suite aux craintes de créances douteuses.
Une importante faille de sécurité a frappé Kelp DAO, laissant le protocole sous le choc après une exploitation inter-chaînes de grande ampleur. Tôt samedi, un attaquant a drainé une part significative de son offre de rsETH via une vulnérabilité suspectée sur LayerZero. Les données on-chain indiquent une opération soigneusement préparée impliquant des outils d’obfuscation et des appels de contrat ciblés. Les réactions du marché ont suivi rapidement, avec des effets d’entraînement sur les plateformes DeFi associées.
Kelp DAO gèle son protocole après une tentative d’exploit inter-chaînes de 292 millions de dollars
Les attaquants ont siphonné environ 116 500 rsETH, évalués à près de 292 millions de dollars aux prix actuels. Les enregistrements blockchain montrent que le drainage s’est produit à 17:35 UTC via un appel à la fonction « lzReceive » sur le contrat EndpointV2 de LayerZero. Cet appel a déclenché le système de pont de Kelp pour libérer des fonds directement vers une adresse contrôlée par l’attaquant.
Le financement de l’exploit remonte à environ 10 heures. L’attaquant a utilisé le pool 1-ETH de Tornado Cash, une méthode souvent associée à l’obfuscation de transactions. Peu après la brèche, l’enquêteur blockchain ZachXBT a signalé l’incident, estimant les pertes à plus de 280 millions de dollars sur Ethereum et Arbitrum.
Kelp DAO a répondu en moins d’une heure, durant laquelle sa multisig d’urgence a exécuté une fonction « pauseAll » sur les contrats clés. Les systèmes affectés incluaient le LRT Deposit Pool, le module de retrait, l’oracle et le jeton rsETH lui-même. Cette manœuvre a stoppé les dégâts supplémentaires et empêché d’autres retraits.
Deux tentatives de suivi de l’attaquant ont échoué. Les transactions à 18:26 et 18:28 UTC ont tenté de drainer 40 000 rsETH supplémentaires, valant environ 100 millions de dollars. Toutes deux ont été rejetées en raison de l’état gelé du protocole. Sans cette intervention, les pertes totales auraient pu approcher 391 millions de dollars.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
— Kelp (@KelpDAO) April 18, 2026
Kelp a confirmé plus tard une « activité inter-chaînes suspecte » dans une déclaration publique postée à 20:10 UTC. L’équipe a indiqué avoir gelé les contrats sur le mainnet et plusieurs réseaux de Layer 2 pendant l’enquête. Une collaboration est en cours avec LayerZero, Unichain, des auditeurs et des spécialistes externes en sécurité.
Aave gèle les marchés rsETH après que l’exploit du pont Kelp suscite des craintes de créances douteuses
L’attention s’est portée sur le pont Omnichain Fungible Token de Kelp. Ce système permet les transferts de rsETH entre réseaux et semble central dans le chemin d’exploitation. Le montant volé représente environ 18 % de l’offre en circulation du rsETH, estimée à 630 000 jetons. L’actif opère sur plus de 20 réseaux, dont Arbitrum, Base et Scroll.
Les ondes de choc se sont propagées à d’autres protocoles, notamment les marchés de prêt. AAVE a chuté d’environ 10 % après des rapports indiquant que la plateforme pourrait être exposée à des créances douteuses liées à des positions en rsETH. En réponse, Aave a gelé les marchés rsETH sur ses déploiements V3 et V4.
The rsETH markets on Aave V3 and Aave V4 have been frozen. Aave's contracts have not been exploited and this is an exploit related to rsETH.
The freeze follows an exploit of the Kelp DAO rsETH bridge. Freezing the rsETH markets prevents new deposits and borrowing against rsETH…
— Aave (@aave) April 18, 2026
Aave a précisé que ses contrats intelligents n’avaient pas été compromis. Le problème provient plutôt du rsETH lui-même. L’équipe examine maintenant l’activité d’emprunt liée à l’exploit. Les premières déclarations évoquaient l’utilisation potentielle du module de sécurité Umbrella, bien que des mises à jour ultérieures aient atténué cette position. Aave déclare maintenant qu’il examinera les options si des pertes se matérialisent.
Un incident répété alerte sur la sécurité de Kelp DAO et les risques inter-chaînes
L’incident de samedi marque la deuxième perturbation majeure de Kelp DAO en moins d’un an. En avril 2025, un bogue dans son contrat de frais avait provoqué un mintage excessif de rsETH. Cet événement avait conduit à un gel temporaire mais n’avait pas entraîné de pertes de fonds utilisateurs.
Les conditions actuelles font que le rsETH s’échange près de 2 500 $, reflétant l’incertitude sur la stabilité du protocole. Kelp DAO et son cofondateur Amitej Gajjala n’ont pas encore fourni de détails supplémentaires au-delà des déclarations initiales.
L’attention se tourne maintenant vers l’analyse de la cause racine et les chemins de récupération potentiels. L’ampleur de l’exploit soulève des préoccupations plus larges concernant la sécurité des ponts inter-chaînes. Alors que les enquêtes se poursuivent, les utilisateurs et les protocoles liés au rsETH font face à un risque accru et à une incertitude persistante.
Laisser un commentaire