Un attaquant aurait exploité une vulnérabilité dans le jeton de liquid restaking rsETH de KelpDAO le 18 avril 2026, vidant environ 280 millions de dollars ou plus sur Ethereum et Arbitrum.
Points clés:
- ZachXBT a signalé un vol de 280 millions de dollars+ sur Ethereum et Arbitrum, touchant des protocoles DeFi le 18 avril 2026.
- L’exploit de KelpDAO a créé une dette irrécouvrable sur Aave V3, avec une baisse du token AAVE d’environ 10 à 13%.
- KelpDAO n’a pas confirmé l’exploit ; des analystes surveillent six portefeuilles identifiés de l’attaquant pour repérer des indices de récupération.
Exploit DeFi sur Ethereum : l’attaque contre rsETH de KelpDAO fait plus de 280 millions de dollars de pertes
L’enquêteur onchain ZachXBT a publié l’alerte initiale sur son canal Telegram public peu avant 15 h (ET), listant six adresses de portefeuilles liées au vol et indiquant que les portefeuilles de l’attaquant avaient été alimentés via Tornado Cash avant le début du drain. Son message citait des pertes dépassant 280 millions de dollars sur plusieurs protocoles DeFi sans nommer directement KelpDAO, mais des analystes onchain ont relié ces adresses dans les heures suivantes.
« KelpDAO semble avoir subi un vol de 280M+ il y a une heure sur Ethereum et Arbitrum », a écrit ZachXBT. « Les adresses d’attaque ont été alimentées via Tornado Cash. »
Des rapports indiquent que les attaquants ont exploité une faille dans l’infrastructure rsETH de KelpDAO, déclenchant la libération non autorisée d’une grande quantité du jeton de liquid restaking sans déposer de nouveau collatéral. Le rsETH acquis a ensuite été déposé sur les marchés de prêt Aave V3 sur Ethereum et Arbitrum, où l’attaquant a emprunté d’importantes quantités de ETH et d’autres actifs en s’y appuyant.
Une fois la validité du collatéral remise en question, ces positions ont laissé Aave avec une dette irrécouvrable. Les estimations de la communauté sur les pertes totales allaient de 100 millions de dollars à environ 293 millions de dollars, soit l’équivalent d’environ 116 500 rsETH aux prix actuels.
AAVE a chuté fortement à la suite de la nouvelle. Les données de marché montrent une baisse de 10% à 13% dans les heures suivant l’alerte initiale, alors que le marché évaluait l’exposition potentielle à des dettes irrécouvrables dans les pools de prêt du protocole. Le multisig guardian de AAVE a gelé rsETH sur les marchés de lending, selon des données onchain.
Les tokens de liquid restaking comme rsETH se trouvent au cœur de la composabilité DeFi. Ils sont acceptés comme collatéral sur plusieurs marchés de prêt simultanément, ce qui signifie que l’exploit peut propager rapidement des pertes à travers différentes plateformes. L’incident KelpDAO illustre ce risque de manière directe.
Les portefeuilles de l’attaquant listés par ZachXBT affichaient de grosses positions en ETH détenues sur Aave et Compound. Une seule adresse aurait, à elle seule, détenu environ 120 millions de dollars en ETH sur Aave au moment de la détection. Les fonds ont été déplacés rapidement après le drain.
L’utilisation de Tornado Cash pour pré-alimenter des portefeuilles opérationnels avant l’attaque est une tactique standard visant à masquer l’origine des fonds. Elle n’indique pas une nouvelle technique, mais confirme que l’opération était délibérée et planifiée.
Environ à 15 h (ET) le 18 avril, KelpDAO n’avait pas publié de déclaration officielle ni de post-mortem. La communauté surveillait le compte X et le site web du projet pour une réponse, ainsi que les canaux de gouvernance d’Aave pour d’éventuelles actions d’urgence.
Les sociétés de sécurité DeFi, dont Peckshield, Slowmist et d’autres, n’avaient pas encore publié de décomposition détaillée au moment de la rédaction, ce qui reflète la rapidité avec laquelle la situation s’est développée. ZachXBT n’avait pas posté de suivi en nommant spécifiquement KelpDAO dans des canaux publics, mais le chevauchement des adresses a tracé une ligne nette.
Cet incident est distinct de l’exploitation du Drift Protocol d’abord signalée par Bitcoin.com News le 1er avril 2026, qui impliquait environ 280 millions de dollars vidés principalement sur Solana avant que l’USDC ne soit pontée vers Ethereum via CCTP. Les mécanismes, les chaînes et les chronologies sont différents.
Toute personne détenant rsETH ou des positions liées sur Aave, Compound ou d’autres marchés de prêt était invitée par des membres de la communauté à revoir son exposition tant que la situation restait non résolue.
Les six portefeuilles d’attaquant identifiés par ZachXBT restent des cibles actives pour la traçabilité onchain, tandis que les analystes travaillent à cartographier où les fonds sont allés après avoir quitté Aave.
Note de l’éditeur : Cet article a été mis à jour à 16 h (ET) pour indiquer que le multisig guardian de Aave avait gelé rsETH sur des marchés de prêt spécifiques.
