#rsETHAttackUpdate
Kelp DAO Bridge piraté, un choc de 10 milliards de dollars pour la DeFi
Le samedi 18 avril 2026, le marché crypto a été frappé par la plus grande attaque DeFi de l’année. Les hackers ont drainé exactement 116 500 rsETH, d’une valeur d’environ 292 millions de dollars, du pont alimenté par LayerZero qui déplace le jeton rsETH de Kelp DAO entre les chaînes. L’exploit s’est produit en une seule transaction à 17h35 UTC. Les attaquants ont trompé le pont avec un paquet LayerZero falsifié et ont vidé le rsETH.
Que s’est-il passé ? Analyse technique
Vulnérabilité DVN unique : La route du pont Unichain vers Ethereum fonctionnait avec une configuration DVN 1 sur 1, ce qui signifie qu’un seul vérificateur était actif. L’attaquant a manipulé les nœuds RPC, créé un paquet falsifié, et le seul vérificateur l’a signé.
Pont vidé : L’adaptateur OFT sur Ethereum détenait 116 723 rsETH. Après l’attaque, le solde est tombé à 223 rsETH en seulement un bloc.
Où est allé l’argent : Sur le rsETH volé, 89 567 ont été déposés dans Aave V3 en tant que garantie. Le hacker a ensuite emprunté 82 650 WETH et 821 wstETH contre cela. Les facteurs de santé se situaient entre 1,01 et 1,03, donc les positions étaient au bord de la liquidation.
L’équipe Kelp DAO a activé la multisignature d’urgence et a mis en pause tous les contrats en 46 minutes. Si elle n’avait pas agi, l’attaquant aurait pu retirer 40 000 rsETH supplémentaires et faire grimper les pertes totales à 391 millions de dollars.
Impact sur le marché crypto : comment les dominos sont tombés
1. Crise de liquidité chez Aave
Aave détenait 83 % de l’offre totale de rsETH. Avec le hacker qui a posté une garantie et emprunté, Aave a été soudainement exposé à une dette potentielle comprise entre 124 et 230 millions de dollars.
Résultat :
Le TVL d’Aave est passé de 45 milliards à 30 milliards de dollars en trois jours, soit une baisse de 33 %.
Les utilisateurs ont paniqué et ont retiré des fonds. Environ 10,1 milliards de dollars d’actifs ont quitté le protocole.
Les taux d’emprunt ETH ont bondi de 2 % à 8 %, le niveau le plus élevé depuis au moins janvier 2024.
Les taux d’emprunt USDT et USDC ont explosé de 3,4 % à 14 %.
Aave a gelé les marchés rsETH et wrsETH sur 11 réseaux, dont Ethereum, Arbitrum, Avalanche, Base, Linea et Mantle.
2. Évolution des prix et chute du TVL
Le jeton AAVE a perdu entre 15 et 18 % de sa valeur.
Le TVL global de la DeFi est passé de 99 milliards à 89 milliards de dollars le 18 avril, effaçant 10 milliards de dollars.
Justin Sun a retiré 65 580 ETH en une seule transaction, soit environ 154 millions de dollars.
3. Réaction en chaîne
SparkLend et Fluid ont également fermé leurs marchés rsETH. Lido a arrêté les nouveaux dépôts dans les produits liés à rsETH. L’infrastructure de relais a continué de fonctionner, mais les retraits de vaults ont été bloqués à cause de la garantie liée au marché WETH d’Aave.
Qui est responsable ? Tous les regards se tournent
LayerZero a pointé du doigt le groupe Lazarus. Le rapport RWATimes a identifié leur sous-groupe TraderTraitor. Les portefeuilles de l’attaquant ont été financés via Tornado Cash.
Détail important : Selon Llamarisk et le rapport d’Aave, les contrats d’Aave eux-mêmes n’ont pas été compromis. Le problème venait entièrement de la configuration du pont de Kelp DAO.
Plan de récupération : une bouée de 30 000 ETH
Mantle a proposé de prêter jusqu’à 30 000 ETH à l’Aave DAO pour couvrir la dette. La durée du prêt serait de 36 mois avec un taux d’intérêt égal au rendement de Lido plus 1 %. Stani Kulechov a annoncé son soutien avec la phrase DeFi Unis.
Kelp DAO a réussi à récupérer 40 373 rsETH. Cela ne couvre que 26 % de la demande de 152 577 rsETH sur tous les L2. La version mainnet de rsETH n’est pas affectée pour l’instant car elle est directement soutenue par le staking.
Trois leçons de cet incident
1. La sécurité du pont équivaut à la sécurité de la DeFi : faire fonctionner un DVN avec un seul vérificateur signifie faire confiance à un paquet de 292 millions de dollars. Les projets utilisant LayerZero vont probablement désormais exiger des configurations multi-DVN et des vérificateurs optionnels.
2. Risque systémique dans les LRTs : lorsque des tokens de restaking liquides comme rsETH se concentrent dans de grands protocoles comme Aave, une seule faille secoue tout le marché. Avoir 83 % dans un seul protocole est une exposition trop importante.
3. Les oracles ont du retard : pendant le hack, Aave a toujours évalué rsETH près du peg et permis d’emprunter 106 467 ETH. L’exploit du pont ne s’est pas reflété assez rapidement dans les flux de prix.
Que se passe-t-il ensuite ?
À court terme, les versions de rsETH sur les L2 resteront illiquides. Les 40 373 rsETH dans le pont ne peuvent pas couvrir tous les rsETH sur les L2. Cela signifie que rsETH sur Arbitrum, Base et Mantle agira comme des reçus sans vault pendant un certain temps.
À moyen terme, si la dette d’Aave est effacée via le prêt Mantle et les remboursements de Kelp DAO, la confiance pourrait revenir. Les régulateurs vont probablement examiner plus strictement les standards des ponts. Comme l’a rapporté Al Jazeera Economy, cette attaque s’inscrit dans une tendance croissante de violations de sécurité en DeFi en 2026.
Dernière réflexion
Le #rsETHAttackUpdate n’a pas seulement frappé Kelp DAO. La perte de 10 milliards de dollars par Aave a montré à quel point tout l’écosystème DeFi est interconnecté. À l’avenir, la question de qui audite le pont sera plus importante que celle du taux APY.
Restez à l’écoute, car il reste encore à voir comment Kelp DAO distribuera les 40 373 rsETH récupérés. Cette décision déterminera les pertes pour les détenteurs de rsETH sur les L2.
Kelp DAO Bridge piraté, un choc de 10 milliards de dollars pour la DeFi
Le samedi 18 avril 2026, le marché crypto a été frappé par la plus grande attaque DeFi de l’année. Les hackers ont drainé exactement 116 500 rsETH, d’une valeur d’environ 292 millions de dollars, du pont alimenté par LayerZero qui déplace le jeton rsETH de Kelp DAO entre les chaînes. L’exploit s’est produit en une seule transaction à 17h35 UTC. Les attaquants ont trompé le pont avec un paquet LayerZero falsifié et ont vidé le rsETH.
Que s’est-il passé ? Analyse technique
Vulnérabilité DVN unique : La route du pont Unichain vers Ethereum fonctionnait avec une configuration DVN 1 sur 1, ce qui signifie qu’un seul vérificateur était actif. L’attaquant a manipulé les nœuds RPC, créé un paquet falsifié, et le seul vérificateur l’a signé.
Pont vidé : L’adaptateur OFT sur Ethereum détenait 116 723 rsETH. Après l’attaque, le solde est tombé à 223 rsETH en seulement un bloc.
Où est allé l’argent : Sur le rsETH volé, 89 567 ont été déposés dans Aave V3 en tant que garantie. Le hacker a ensuite emprunté 82 650 WETH et 821 wstETH contre cela. Les facteurs de santé se situaient entre 1,01 et 1,03, donc les positions étaient au bord de la liquidation.
L’équipe Kelp DAO a activé la multisignature d’urgence et a mis en pause tous les contrats en 46 minutes. Si elle n’avait pas agi, l’attaquant aurait pu retirer 40 000 rsETH supplémentaires et faire grimper les pertes totales à 391 millions de dollars.
Impact sur le marché crypto : comment les dominos sont tombés
1. Crise de liquidité chez Aave
Aave détenait 83 % de l’offre totale de rsETH. Avec le hacker qui a posté une garantie et emprunté, Aave a été soudainement exposé à une dette potentielle comprise entre 124 et 230 millions de dollars.
Résultat :
Le TVL d’Aave est passé de 45 milliards à 30 milliards de dollars en trois jours, soit une baisse de 33 %.
Les utilisateurs ont paniqué et ont retiré des fonds. Environ 10,1 milliards de dollars d’actifs ont quitté le protocole.
Les taux d’emprunt ETH ont bondi de 2 % à 8 %, le niveau le plus élevé depuis au moins janvier 2024.
Les taux d’emprunt USDT et USDC ont explosé de 3,4 % à 14 %.
Aave a gelé les marchés rsETH et wrsETH sur 11 réseaux, dont Ethereum, Arbitrum, Avalanche, Base, Linea et Mantle.
2. Évolution des prix et chute du TVL
Le jeton AAVE a perdu entre 15 et 18 % de sa valeur.
Le TVL global de la DeFi est passé de 99 milliards à 89 milliards de dollars le 18 avril, effaçant 10 milliards de dollars.
Justin Sun a retiré 65 580 ETH en une seule transaction, soit environ 154 millions de dollars.
3. Réaction en chaîne
SparkLend et Fluid ont également fermé leurs marchés rsETH. Lido a arrêté les nouveaux dépôts dans les produits liés à rsETH. L’infrastructure de relais a continué de fonctionner, mais les retraits de vaults ont été bloqués à cause de la garantie liée au marché WETH d’Aave.
Qui est responsable ? Tous les regards se tournent
LayerZero a pointé du doigt le groupe Lazarus. Le rapport RWATimes a identifié leur sous-groupe TraderTraitor. Les portefeuilles de l’attaquant ont été financés via Tornado Cash.
Détail important : Selon Llamarisk et le rapport d’Aave, les contrats d’Aave eux-mêmes n’ont pas été compromis. Le problème venait entièrement de la configuration du pont de Kelp DAO.
Plan de récupération : une bouée de 30 000 ETH
Mantle a proposé de prêter jusqu’à 30 000 ETH à l’Aave DAO pour couvrir la dette. La durée du prêt serait de 36 mois avec un taux d’intérêt égal au rendement de Lido plus 1 %. Stani Kulechov a annoncé son soutien avec la phrase DeFi Unis.
Kelp DAO a réussi à récupérer 40 373 rsETH. Cela ne couvre que 26 % de la demande de 152 577 rsETH sur tous les L2. La version mainnet de rsETH n’est pas affectée pour l’instant car elle est directement soutenue par le staking.
Trois leçons de cet incident
1. La sécurité du pont équivaut à la sécurité de la DeFi : faire fonctionner un DVN avec un seul vérificateur signifie faire confiance à un paquet de 292 millions de dollars. Les projets utilisant LayerZero vont probablement désormais exiger des configurations multi-DVN et des vérificateurs optionnels.
2. Risque systémique dans les LRTs : lorsque des tokens de restaking liquides comme rsETH se concentrent dans de grands protocoles comme Aave, une seule faille secoue tout le marché. Avoir 83 % dans un seul protocole est une exposition trop importante.
3. Les oracles ont du retard : pendant le hack, Aave a toujours évalué rsETH près du peg et permis d’emprunter 106 467 ETH. L’exploit du pont ne s’est pas reflété assez rapidement dans les flux de prix.
Que se passe-t-il ensuite ?
À court terme, les versions de rsETH sur les L2 resteront illiquides. Les 40 373 rsETH dans le pont ne peuvent pas couvrir tous les rsETH sur les L2. Cela signifie que rsETH sur Arbitrum, Base et Mantle agira comme des reçus sans vault pendant un certain temps.
À moyen terme, si la dette d’Aave est effacée via le prêt Mantle et les remboursements de Kelp DAO, la confiance pourrait revenir. Les régulateurs vont probablement examiner plus strictement les standards des ponts. Comme l’a rapporté Al Jazeera Economy, cette attaque s’inscrit dans une tendance croissante de violations de sécurité en DeFi en 2026.
Dernière réflexion
Le #rsETHAttackUpdate n’a pas seulement frappé Kelp DAO. La perte de 10 milliards de dollars par Aave a montré à quel point tout l’écosystème DeFi est interconnecté. À l’avenir, la question de qui audite le pont sera plus importante que celle du taux APY.
Restez à l’écoute, car il reste encore à voir comment Kelp DAO distribuera les 40 373 rsETH récupérés. Cette décision déterminera les pertes pour les détenteurs de rsETH sur les L2.
