#KelpDAOBridgeHacked

L'écosystème de la finance décentralisée a connu l'une de ses défaillances de sécurité les plus graves à ce jour. Kelp DAO, un protocole de repositionnement de liquidités de premier plan, a subi une exploitation dévastatrice ciblant son pont cross-chain rsETH. En quelques minutes, environ 116 500 rsETH — évalués entre $292 millions et $293 millions — ont été drainés, représentant près de 18 % de l'offre totale en circulation du jeton. Cet incident constitue désormais la plus grande attaque DeFi enregistrée en 2026.

La faille provenait de l'infrastructure du pont de Kelp DAO, qui s'appuyait sur le système de messagerie cross-chain de LayerZero. Plus précisément, l'attaquant a exploité la fonction lzReceive dans le contrat EndpointV2. En créant et injectant un message cross-chain frauduleux, l'attaquant a contourné les vérifications de validation. Le système a été trompé en le faisant reconnaître comme légitime, déclenchant la libération non autorisée de fonds vers un portefeuille contrôlé par l'attaquant.
Ce qui rend l'attaque particulièrement préoccupante, c'est qu'elle a exploité un comportement standard du protocole plutôt qu'une vulnérabilité complexe. Les analystes pensent qu'une dépendance excessive aux configurations par défaut et à des couches de validation insuffisantes dans le système de messagerie ont joué un rôle crucial. La préparation de l'attaquant était également délibérée — le portefeuille utilisé dans l'exploitation avait été financé via Tornado Cash environ 10 heures auparavant, une tactique couramment utilisée pour obscurcir l'origine des transactions et compliquer la traçabilité.

La nature cross-chain du pont a amplifié les dégâts. Avec rsETH déployé sur le réseau principal Ethereum et plusieurs réseaux Layer-2 comme Arbitrum, l'exploitation s'est rapidement propagée à travers les écosystèmes. Cette exposition multi-chaînes a considérablement augmenté la vitesse et l'ampleur des pertes.
Kelp DAO a réagi rapidement après avoir détecté une activité anormale. L'équipe a immédiatement suspendu les contrats rsETH sur le réseau principal et plusieurs environnements Layer-2, empêchant ainsi toute nouvelle perte estimée à plus de $100 millions. Dans leur déclaration initiale, ils ont confirmé leur collaboration active avec des partenaires d'infrastructure, des auditeurs et des experts en sécurité pour mener une enquête approfondie.

Malgré la réponse rapide, les conséquences ont été graves. L'exploitation a déclenché une panique généralisée sur les marchés DeFi, menant à une crise de liquidité. Les utilisateurs ont précipité le retrait de fonds, créant un effet de « ruée bancaire » en cascade. Les principales plateformes de prêt, comme Aave, ont mis en place des mesures d'urgence telles que le gel du marché. En peu de temps, environ $9 milliards — soit environ un tiers de la valeur totale verrouillée sur Aave — ont été retirés, entraînant une dette douteuse estimée entre $196 millions et $236 millions.

D'autres protocoles, notamment SparkLend, Fluid, Upshift et Morpho, ont également subi une pression importante. Dans l'ensemble de l'écosystème, la valeur totale verrouillée a chuté d'environ $8 milliards à $13 milliards en 48 heures. Les répercussions ont dépassé Ethereum, affectant les pools de liquidités sur d'autres chaînes, notamment Solana.
Des spéculations ont émergé concernant une possible implication du Lazarus Group, une organisation de cybercriminalité liée à la Corée du Nord, connue pour cibler les plateformes crypto. Bien que certains indicateurs on-chain suggèrent des connexions possibles, aucune confirmation officielle n’a été faite.

Pendant ce temps, l'attaquant a déjà commencé à déplacer des fonds, en échangeant des portions en ETH sur différents réseaux pour compliquer le suivi.
Cet incident renforce une préoccupation de longue date dans la DeFi : les ponts cross-chain restent l’un des composants les plus vulnérables de l’infrastructure blockchain. Bien qu’ils permettent une interopérabilité fluide, ils introduisent également des surfaces d’attaque critiques — en particulier lorsque les mécanismes de validation des messages ne sont pas suffisamment robustes.

L’exploitation de Kelp DAO sert d’avertissement brutal. Elle met en évidence la nécessité urgente d’améliorer les cadres de sécurité, notamment les systèmes de vérification multi-couches, une logique de validation plus stricte et de meilleures pratiques de gestion des risques. Alors que l’enquête se poursuit, l’industrie attend désormais le rapport complet post-mortem de Kelp DAO, qui devrait fournir des insights plus approfondis sur la défaillance et proposer des mesures pour éviter des incidents similaires à l’avenir.
📌 Détail :
https://www.gate.com/announcements/article/50593
‍#GateSquare #CreatorCarnival #ContentMining #Gate13周年