GM

GlobalMarkets

Today

Crypto

Kelp DAO : 292 millions de dollars volés en rsETH paralysent Aave et toute la DeFi

L'attaque sophistiquée contre le bridge cross-chain exploite une faille de configuration unique. Les tokens volés créent des dettes sur Aave. L’article Kelp DAO : 292 millions de dollars volés en rsETH paralysent Aave et toute la DeFi est apparu en premier sur Coin Academy

C
Coin Academy
20 avril 2026· 3 min de lecture
GM
Crypto

Ce qu’il faut retenir :

  • Kelp DAO perd 116 500 rsETH (292 millions $) via un empoisonnement de nœuds RPC attribué à Lazarus Group.
  • La configuration 1-sur-1 DVN sans redondance a permis l’acceptation d’un message falsifié malgré les recommandations LayerZero.
  • Les tokens volés utilisés comme collatéral sur Aave créent des dettes et forcent le gel des marchés rsETH.

Lazarus Group derrière l’exploit le plus important de 2024

https://t.co/3vIHs3Xgs4

— LayerZero (@LayerZero_Core) April 20, 2026

Le groupe de hackers nord-coréen Lazarus Group serait responsable de l’exploit de Kelp DAO du 18 avril qui a vidé 116 500 tokens rsETH d’une valeur de 292 millions de dollars. LayerZero attribue cette attaque au sous-groupe TraderTraitor dans son rapport d’enquête publié le 20 avril.

L’attaque devient le plus important exploit DeFi de l’année. Les pirates ont empoisonné deux nœuds RPC du réseau de vérification décentralisé (DVN) de LayerZero Labs, créant un faux message cross-chain accepté par le bridge. Une attaque DDoS simultanée contre les nœuds sains a forcé le DVN à s’appuyer sur les nœuds compromis.

Configuration défaillante malgré les avertissements

Kelp DAO utilisait une configuration DVN 1-sur-1 sans redondance, créant un point de défaillance unique. LayerZero avait préalablement communiqué les bonnes pratiques de diversification DVN au projet, recommandations ignorées par l’équipe.

LayerZero annonce qu’il ne signera plus aucun message d’applications utilisant une configuration DVN 1-sur-1. Les autres applications sous configuration multi-DVN ne sont pas affectées et peuvent reprendre leurs opérations normalement.

Impact en cascade sur Aave et les protocoles DeFi

Les pirates ont déplacé les tokens volés vers Aave V3, utilisant le rsETH comme collatéral pour emprunter des quantités importantes de WETH. Cette opération crée des dettes sur le protocole de prêt, forçant Aave à geler les marchés rsETH sur ses versions V3 et V4.

L’attaque déclenche une vague de retraits sur Aave et des pauses d’urgence sur plusieurs protocoles du secteur. Le cours d’AAVE recule de 3,12% sur 24 heures à 91,1 dollars, après une chute déjà violente sur les deux derniers jours.

Ce qu’il faut surveiller

LayerZero collabore avec plusieurs agences d’application de la loi pour traquer les fonds volés et poursuivre l’enquête. L’évolution des marchés rsETH gelés sur Aave déterminera l’ampleur des mauvaises dettes créées. Pour le moment, les holders de rsETH sur Arbitrum semble être condamnés à subir la totalité des dégâts.

L’article Kelp DAO : 292 millions de dollars volés en rsETH paralysent Aave et toute la DeFi est apparu en premier sur Coin Academy

Article original

Kelp DAO : 292 millions de dollars volés en rsETH paralysent Aave et toute la DeFi

Publié par Coin Academy

Lire l'article complet