Le bridge cross-chain de Kelp DAO a été vidé de 116 500 rsETH le 19 avril, soit environ 292 millions de dollars. L’attaque, attribuée au groupe Lazarus de Corée du Nord par LayerZero, a provoqué une onde de choc sur l’ensemble de l’écosystème DeFi : en 48 heures, Aave a perdu 8,45 milliards de dépôts et la TVL globale a reculé de 13,21 milliards de dollars.
Pour résumer
- 116 500 rsETH dérobés via une faille LayerZero le 19 avril
- DeFi TVL en chute de 13,21 milliards en deux jours, Aave exposé à 230 M$ de pertes potentielles
- Arbitrum a gelé 71 M$ liés à l’exploit ; LayerZero et Kelp se renvoient la responsabilité
Un hack dans la couche de messagerie cross-chain
Le 19 avril à 17h35 UTC, un attaquant a drainé 116 500 rsETH depuis le bridge LayerZero de Kelp DAO. La somme représente environ 18% de l’offre en circulation du token rsETH, qui totalisait 630 000 unités.
À hauteur des prix en vigueur, le préjudice dépasse 292 millions de dollars, faisant de cet incident le plus grand exploit DeFi de 2026, devant Drift.
Le mécanisme est précis puisque l’attaquant a compromis deux nœuds RPC du réseau, puis a déclenché une attaque par déni de service pour forcer un basculement d’infrastructure.
Cette manœuvre a trompé le vérificateur LayerZero, qui a validé une instruction cross-chain frauduleuse.
La couche de messagerie a donc libéré les rsETH vers une adresse contrôlée par l’attaquant, sans déclencher aucune alerte avant que les fonds ne soient partis.
L’équipe de Kelp a activé son multisig d’urgence 46 minutes après l’exploit, à 18h21 UTC, gelant les contrats principaux du protocole.
La réaction était rapide mais insuffisante : les 292 millions de dollars avaient déjà été dispersés sur vingt blockchains.
C’est le plus grand exploit DeFi de l’année, devançant Drift de quelques millions.
LayerZero a attribué l’attaque au groupe Lazarus, après une analyse préliminaire des flux. Kelp et LayerZero se rejettent néanmoins la responsabilité publiquement.
Selon LayerZero, la configuration mise en place par Kelp était défaillante.
Selon Kelp, ce sont les paramètres par défaut de LayerZero qui ont rendu l’attaque possible.
Ce renvoi de responsabilité entre deux protocoles audités et établis illustre un angle mort structurel du modèle modulaire : la sécurité d’un protocole dépend de chaque couche tierce qu’il assemble, sans standard minimal unifié pour l’ensemble.
La semaine précédant l’exploit, rsETH était l’un des actifs de restaking les plus utilisés comme collatéral sur les protocoles de prêt décentralisé.
Cette position de hub dans la liquidité DeFi explique la vitesse avec laquelle la contagion s’est propagée.
L’onde de choc
Les conséquences ne se sont pas arrêtées à Kelp. En moins de 48 heures, Aave a enregistré 8,45 milliards de dollars de retraits.
Un pic d’emprunts de 300 millions de dollars sur la plateforme a signalé la pression exercée sur les positions existantes et la fuite vers des positions liquides.
L’exposition d’Aave à la débâcle Kelp pourrait atteindre 230 millions de dollars, selon les analyses publiées dans la presse spécialisée.
La TVL globale du DeFi a reculé de 13,21 milliards de dollars sur la période, effaçant des semaines de reconstitution des dépôts institutionnels dans l’écosystème. La réaction des utilisateurs a été immédiate et tranchante.
L’expression « DeFi is dead » a circulé massivement dans la communauté, traduisant une méfiance profonde vis-à-vis des architectures cross-chain après un incident de cette ampleur.
Le modèle modulaire, présenté comme une avancée en matière de composabilité, est directement mis en cause.
Assembler différentes couches de sécurité sans standard minimal unifié crée des surfaces d’attaque que ni les audits ni les bug bounties standard ne couvrent entièrement.
Le fait que Kelp et LayerZero soient deux protocoles audités et établis aggrave le diagnostic plutôt qu’il ne le relativise.
Les protocoles de restaking amplifient mécaniquement ce risque. En chaînant les couches de liquidité (ETH natif, puis stETH, puis rsETH utilisé comme collatéral sur Aave), chaque maillon devient un vecteur de contagion potentiel.
Un seul point de défaillance a suffi à déclencher une réaction en chaîne sur vingt blockchains simultanément.
A voir également sur Cryptonomic FR :
- Plus de la moitié des cryptos sont déjà mortes
- Attention si vous possédez la cryptomonnaie ONDO
- Le gouvernement US a t’il perdu 40 millions en Bitcoin ?!
Les bridges en question ?
Le Security Council d’Arbitrum a pris une décision notable le 21 avril : il a gelé 30 766 ETH (environ 71 millions de dollars) liés à l’exploit et placé ces fonds dans un wallet contrôlé par la gouvernance.
C’est une fraction récupérable des fonds volés, mais elle souligne aussi une réalité inconfortable : Arbitrum dispose d’un Security Council actif capable d’agir rapidement. Ce n’est pas le cas de toutes les chaînes affectées par le hack.
La récupération reste fragmentée. Les fonds sont dispersés sur vingt blockchains et toute coordination entre Security Councils se heurte à la fragmentation de la gouvernance cross-chain.
L’exploit de Kelp illustre précisément ce problème structurel : les bridges concentrent le risque systémique dans un écosystème théoriquement décentralisé, sans mécanisme de réponse coordonnée à l’échelle.
À moyen terme, l’incident relance le débat sur les standards de sécurité pour les infrastructures cross-chain.
Des exigences d’audit indépendant sur les bridges pourraient être formalisées avant tout déploiement institutionnel d’ampleur.
Les protocoles de restaking seront également regardés différemment par les acteurs institutionnels qui avaient commencé à les intégrer dans leurs stratégies de rendement on-chain.
La pression réglementaire sur les ponts inter-chaînes, jusqu’ici absente des textes en discussion aux États-Unis et en Europe, pourrait s’accélérer à la lumière de cet incident.
L’argument selon lequel les pertes restent confinées aux utilisateurs consentants devient difficile à soutenir lorsque la contagion efface 13,21 milliards de TVL en deux jours.
Affaire à suivre sur Cryptonomic.
