#Gate13周年现场直击

LE PLUS GROS EXPLOIT DEFI DE 2026 VIENT DE SE PRODUIRE ET LES CONSÉQUENCES SE PROPAGENT ENCORE.

Le 18 avril 2026, à 17h35 UTC, un attaquant a drainé 116 500 jetons rsETH d'une valeur d'environ $292 millions depuis le pont cross-chain alimenté par LayerZero de Kelp DAO. La somme volée représente environ 18 pour cent de l'offre en circulation totale de rsETH, qui est de 630 000 jetons, et l'exploit a maintenant été officiellement confirmé comme étant le plus grand piratage DeFi de 2026. Ce n'était pas un simple coup de chance ou une prise rapide. C'était une attaque d'infrastructure de précision, planifiée sur plusieurs mois, exécutée en moins de 46 minutes.

Comment l'attaque a fonctionné :
Les attaquants ont préfinancé six portefeuilles via Tornado Cash environ 10 heures avant le drain. Ils ont ensuite compromis deux des nœuds RPC sur lesquels LayerZero's verifier se fiait pour confirmer les transactions cross-chain, en remplaçant le logiciel des nœuds par des versions malveillantes qui rapportaient de fausses données de transaction au vérificateur. Une attaque DDoS simultanée a forcé un basculement qui a mis en ligne les nœuds compromis dans le chemin de vérification. Avec le vérificateur trompé, le pont de Kelp a libéré 116 500 rsETH vers une adresse contrôlée par l'attaquant.
L'urgence multisignature de Kelp a suspendu les contrats principaux 46 minutes après le drain. Deux tentatives de suivi à 18h26 et 18h28 UTC, chacune visant environ 40 000 rsETH d'une valeur d'environ $100 millions, ont été bloquées. Les contrats de restaking principaux n'ont pas été touchés. L'exploit était entièrement isolé à la couche du pont.

La cause profonde : un point de défaillance unique
L'attaque n'a réussi que parce que Kelp utilisait une configuration de vérificateur 1-sur-1, ce qui signifie que LayerZero Labs était la seule entité à vérifier les messages vers et depuis le pont rsETH. Dans une configuration multi-DVN correctement renforcée, un consensus entre plusieurs vérificateurs indépendants est nécessaire pour approuver tout message cross-chain. Compromettre un seul nœud ne suffirait pas à forger une instruction valide. LayerZero a indiqué que sa liste de contrôle d'intégration publique et ses communications directes avec Kelp recommandaient une configuration multi-vérificateur avec redondance, mais Kelp a choisi de maintenir la configuration 1-sur-1.

Kelp conteste ce récit. Une source proche de Kelp a confié à CoinDesk qu'à travers un canal de communication direct avec LayerZero ouvert depuis juillet 2024, aucune recommandation spécifique pour changer la configuration DVN de rsETH n'a été produite. Le guide de démarrage rapide de LayerZero et la configuration par défaut sur GitHub indiquent une configuration DVN 1-sur-1, et environ 40 pour cent des protocoles sur LayerZero utilisent actuellement la même configuration. La polémique publique entre deux grands fournisseurs d'infrastructure DeFi est devenue sa propre histoire.

Acteur soutenu par l'État : groupe Lazarus
La déclaration de LayerZero indique : "Les premiers indicateurs suggèrent une attribution à un acteur étatique très sophistiqué, probablement le groupe Lazarus de la RPDC, plus précisément TraderTraitor." Le groupe Lazarus a maintenant été lié à la fois à l'exploit du Drift Protocol du 1er avril et à l'attaque de Kelp du 18 avril, ce qui signifie que la même unité nord-coréenne a drainé plus de $575 millions de DeFi en 18 jours via deux vecteurs d'attaque structurellement différents : ingénierie sociale pour signer la gouvernance chez Drift, et empoisonnement des RPC d'infrastructure chez Kelp. LayerZero a contacté plusieurs agences de police dans le monde entier et collabore avec Seal911 pour tracer les fonds volés.

La contagion : aave, TVL, et créances douteuses
L'attaquant a déposé le rsETH volé sur Aave V3 en tant que garantie et a emprunté de l'ether wrapped contre celle-ci, laissant environ $196 millions en créances douteuses concentrées dans la paire rsETH-WETH sur Ethereum. Le rapport d'incident d'Aave décrit deux résultats possibles : environ $123 millions de pertes si le dommage est partagé entre tous les rsETH, ou jusqu'à $230 millions si confiné aux réseaux Layer 2, le impact final dépendant de la façon dont Kelp DAO alloue le déficit.

La valeur totale verrouillée sur Aave a chuté à 17,5 milliards de dollars, en baisse de 8,8 milliards en deux jours. Le secteur DeFi plus large a également connu d'importants flux sortants, la valeur totale verrouillée sur toutes les chaînes passant de plus de $99 milliards à environ $86 milliards. SparkLend, Fluid, et Lido Finance ont suspendu leurs marchés liés à rsETH. Ethena a fermé ses propres ponts OFT LayerZero depuis le réseau principal Ethereum par précaution, malgré l'absence d'exposition directe à rsETH.

rsETH est déployé sur plus de 20 réseaux, notamment Arbitrum, Base, Linea, Blast, Mantle, et Scroll. Avec la réserve du pont drainée, les détenteurs sur chaque déploiement L2 font face à l'incertitude quant à la pleine garantie de leurs tokens rsETH wrapés, créant une boucle de pression de rachat qui pourrait forcer Kelp à liquider ses positions EigenLayer de restaking pour honorer les retraits.

Ce que cela signifie pour la defi :
Cet exploit n'est pas seulement une histoire de Kelp DAO. C'est un avertissement structurel. Les ponts cross-chain restent la surface la plus exploitée de manière constante dans la DeFi, et cet attaque démontre que même une infrastructure de messagerie éprouvée comme LayerZero peut être utilisée comme arme via des défaillances de configuration au niveau de l'intégration. L'exploit de Kelp montre que le groupe Lazarus de la Corée du Nord évolue au-delà des piratages isolés, changeant rapidement de tactique, passant de l'ingénierie sociale à l'exploitation des faiblesses structurelles de l'infrastructure crypto, suggérant une campagne soutenue par l'État plutôt qu'incidents isolés. Une architecture multi-vérificateur, des configurations RPC redondantes, et des audits de sécurité indépendants des configurations de ponts ne sont plus de bonnes pratiques, mais des exigences de survie après le 18 avril 2026.

#Gate13周年
#CreatorCarvinal
#KelpDAOBridgeHacked