Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
#KelpDAOBridgeHacked
Exploitation du pont KelpDAO - 18 avril 2026 : Que s'est-il passé et situation actuelle
Le 18 avril 2026, KelpDAO, un protocole de restaking liquide, a subi l'une des plus grandes exploits DeFi de l'année lorsque son pont inter-chaînes a été compromis. L'attaquant a réussi à drainer environ 116 500 tokens rsETH, évalués à environ $292 millions au moment de l'incident. Cela marque le plus gros piratage crypto de 2026 jusqu'à présent, dépassant l'exploitation du Drift Protocol survenue plus tôt en avril.
Comment l'exploitation s'est produite
L'attaque a exploité une vulnérabilité critique dans l'infrastructure du pont de KelpDAO alimentée par LayerZero. L'attaquant a envoyé un message inter-chaînes falsifié à l'OFt Adapter de KelpDAO sur le réseau principal Ethereum, affirmant faussement qu'il provenait de Unichain. La cause principale était une mauvaise configuration grave dans la sécurité du pont. KelpDAO avait mis en place une configuration de Réseau de Vérificateurs Décentralisés (DVN) (Decentralized Verifier Network) à 1 sur 1, s'appuyant sur un seul vérificateur de LayerZero Labs sans redondance ni vérificateurs secondaires optionnels. Cette approche de sécurité minimale a permis au faux message de passer la validation sans défi, déclenchant la libération de tokens rsETH non garantis dans le coffre du pont vers le portefeuille de l'attaquant.
Il est important de noter qu'il ne s'agissait pas d'une faille dans le protocole LayerZero lui-même. LayerZero V2 est conçu pour être modulaire, permettant aux projets de choisir leur propre pile de vérificateurs. KelpDAO a opté pour la configuration de sécurité la plus minimale possible, ce qui s'est avéré catastrophique.
Le jeu de l'attaquant en DeFi
Une fois qu'il a obtenu le rsETH non garanti, l'attaquant l'a immédiatement déployé en tant que garantie dans plusieurs protocoles DeFi pour en extraire la valeur maximale. Sur les marchés Aave V3 et V4 sur Ethereum et Arbitrum, l'attaquant a emprunté environ 52 834 WETH sur Ethereum et 29 782 WETH plus 821 wstETH sur Arbitrum. Des activités d'emprunt supplémentaires ont été observées sur les protocoles Compound et Euler, portant la valeur totale extraite à plus de $200 millions. Les fonds volés ont ensuite été blanchis via Tornado Cash.
Réponse immédiate et gestion des dégâts
KelpDAO a détecté l'exploitation en environ une heure, grâce à la surveillance en chaîne par des chercheurs en sécurité comme ZachXBT. Le protocole a immédiatement suspendu les ponts sur Ethereum et d'autres chaînes supportées, bloquant avec succès deux tentatives d'attaque ultérieures. KelpDAO a publié une déclaration publique indiquant sa volonté de négocier avec l'attaquant dans un cadre éthique.
Aave a réagi en gelant les marchés rsETH sur V3 et V4 sur Ethereum et Arbitrum. D'autres protocoles, dont SparkLend, Fluid et Upshift, ont également pris des mesures préventives. L'incident a laissé Aave avec environ $177 millions de dettes douteuses, principalement sur Arbitrum, bien que les marchés sur le réseau principal Ethereum restent garantis mais à risque d'effets de spillover. Lido a suspendu les dépôts earnETH par précaution, tandis qu'Ethena et USDT0 ont préemptivement suspendu leurs ponts, malgré aucune exposition directe.
Des risques secondaires ont émergé alors que l'utilisation d'ETH a atteint 100 % sur Aave, ce qui pourrait retarder les liquidations et créer des déséquilibres dans les incitations à emprunter.
Situation actuelle et implications
Au 19-20 avril 2026, les détenteurs de rsETH bridgés risquent des décotes de 15-20 % en attendant toute tentative de récupération. La communauté Aave discute activement de propositions de gouvernance pour la résolution des dettes douteuses, avec des débats en cours pour savoir si les positions sur Arbitrum et Ethereum mainnet doivent être traitées séparément.
L'incident sert de rappel brutal pour que les projets DeFi auditent leurs configurations OApp et mettent en place des setups multi-DVN avec 3-4 vérificateurs requis plutôt que de dépendre d'un point de défaillance unique. Heureusement, aucun autre projet OFT de LayerZero n'a été affecté par cette vulnérabilité spécifique.
Les chercheurs en sécurité attendent la publication dans les prochains jours d'analyses complètes des causes racines. Il est conseillé aux utilisateurs de suivre les canaux officiels de KelpDAO, Aave et des analystes en sécurité comme ZachXBT pour des mises à jour en temps réel sur la situation.