Kelp DAO Accuse LayerZero d’un Désastre à 290 Millions sur rsETH

Imaginez perdre l’équivalent de 290 millions de dollars en quelques minutes, sans même un combat acharné. C’est exactement ce qui est arrivé à Kelp DAO le 18 avril 2026. Un bridge cross-chain censé sécuriser les transferts de rsETH, le token de liquid restaking du protocole, a été vidé de 116 500 tokens, représentant environ 18 % de l’offre totale en circulation. Cet incident, le plus important dans le DeFi cette année, a immédiatement déclenché un jeu de blâme entre Kelp DAO et LayerZero, le fournisseur d’infrastructure d’interopérabilité.

Ce n’est pas seulement une histoire de hack technique. C’est un révélateur profond des failles persistantes dans les systèmes de bridges décentralisés, des responsabilités partagées entre protocoles et infrastructures, et des risques que prennent encore aujourd’hui les utilisateurs de re-staking liquide. Alors que le marché digère les conséquences, avec une chute de plusieurs milliards en TVL sur des plateformes comme Aave, revenons sur les faits, les arguments des deux parties et les leçons à en tirer pour l’avenir du secteur.

Le Hack du Bridge rsETH : Chronologie d’un Désastre

Tout commence le samedi 18 avril 2026 vers 17h35 UTC. Un attaquant, probablement lié au groupe Lazarus de Corée du Nord selon les premières analyses, parvient à forger un message cross-chain via le protocole LayerZero. Ce message frauduleux ordonne au bridge de Kelp DAO de libérer 116 500 rsETH sur Ethereum mainnet, sans contrepartie réelle sur la chaîne source.

Le montant drainé, évalué entre 290 et 293 millions de dollars au moment des faits, représente une perte massive. Les fonds volés ont rapidement été déposés sur des protocoles de lending comme Aave, permettant à l’attaquant d’emprunter d’autres actifs avant que les équipes ne réagissent. Kelp DAO a immédiatement pausé les contrats concernés sur Ethereum et plusieurs layer-2, évitant potentiellement une perte supplémentaire de 100 millions.

Cet événement n’est pas isolé. Il s’inscrit dans une série de hacks qui ont déjà dépassé les 600 millions de dollars en avril 2026 seulement. Mais ce qui rend celui-ci particulièrement préoccupant, c’est la nature du vecteur : un bridge basé sur LayerZero, l’un des leaders en matière d’interopérabilité omnichain.

Cette chronologie rapide cache pourtant un débat bien plus profond sur les responsabilités. Qui a vraiment failli ?

LayerZero Pointe du Doigt une Configuration Risquée

Dans son post-mortem officiel, LayerZero maintient que son protocole n’a pas été compromis. Selon eux, le problème vient exclusivement de la décision de Kelp DAO d’utiliser une configuration à un seul validateur (1/1 DVN). Cette approche crée un point de défaillance unique : si ce validateur est compromis, plus rien ne peut arrêter un message frauduleux.

LayerZero affirme avoir communiqué à plusieurs reprises sur les meilleures pratiques, recommandant vivement des setups multi-DVN comme 2-of-3 ou 3-of-5 pour les applications gérant plus d’un milliard de dollars en valeur verrouillée. Ils soulignent que leur OApp model permet justement aux développeurs de choisir le niveau de sécurité adapté à leurs besoins.

Le protocole LayerZero n’a pas été brisé. L’application a déployé une configuration à point de défaillance unique en production pour un token avec plus d’un milliard de TVL.

Équipe LayerZero

Cette position semble logique à première vue. Dans un écosystème où les bridges ont déjà causé des pertes colossales par le passé, opter pour un validateur unique sur un actif aussi critique que rsETH paraît imprudent. Les chercheurs en sécurité, dont ceux de SlowMist, confirment la présence d’un « single-signature single point » qui a permis à une seule signature forgée de passer.

Kelp DAO Réplique : C’était le Default de LayerZero

Face à ces accusations, Kelp DAO ne reste pas silencieux. Le protocole de liquid restaking prépare un memorandum détaillé dans lequel il affirme que la configuration 1/1 DVN utilisée n’était pas une fantaisie risquée, mais bel et bien les réglages par défaut documentés par LayerZero lui-même.

Selon Kelp, le validateur compromis faisait partie de l’infrastructure officielle de LayerZero Labs, et non d’un tiers non vérifié. Ils ont suivi à la lettre les guides publics et les recommandations initiales lors de l’intégration sur de multiples réseaux. Pourquoi alors blâmer uniquement l’application quand l’infrastructure fournie par le partenaire présente ce défaut par défaut ?

Cette contre-attaque soulève une question fondamentale : dans les systèmes modulaires du Web3, où s’arrête la responsabilité du builder et où commence celle du fournisseur d’infrastructure ? Kelp insiste sur le fait que leur adapter OApp acceptait l’attestation d’un seul vérificateur géré directement par LayerZero.

Ce ping-pong de responsabilités met en lumière les tensions inhérentes aux partenariats techniques dans la crypto. Quand tout va bien, chacun revendique sa part de succès. Quand un drame survient, le blâme se déplace rapidement.

Comment l’Attaque Technique s’est Déroulée

Pour mieux comprendre, penchons-nous sur les mécanismes techniques. LayerZero utilise un système de messagerie omnichain basé sur des Decentralized Verifier Networks (DVN). Chaque message cross-chain doit être validé par un ou plusieurs DVN avant d’être exécuté sur la destination.

Dans le cas du bridge rsETH, l’adapter était configuré pour accepter une seule signature d’un DVN unique. L’attaquant a réussi à compromettre ce validateur, probablement via une attaque sophistiquée incluant du social engineering ou une compromission de nœud. Une fois en contrôle, il a envoyé un packet forgé indiquant un transfert légitime depuis une autre chaîne (Unichain selon certaines analyses).

Le bridge, confiant dans la signature unique, a libéré les tokens « out of thin air » sur Ethereum. Aucun burn correspondant n’a eu lieu sur la source, créant ainsi une inflation frauduleuse de rsETH. Les analystes de DeFiPrime ont détaillé comment un seul nonce malveillant a suffi à déclencher le désastre.

Cette vulnérabilité n’était pas inconnue. De nombreux audits et experts recommandent depuis longtemps la diversification des vérificateurs pour les bridges à haute valeur. Pourtant, l’usage de setups simplifiés persiste, souvent pour des raisons de simplicité, de coût ou de vitesse d’intégration.

Les Conséquences Immédiates sur le Marché DeFi

L’impact n’a pas tardé. Aave, où rsETH était largement utilisé comme collateral, a vu sa TVL chuter de plus de 6 milliards de dollars en peu de temps. Le protocole a dû freezer les marchés rsETH pour éviter une cascade de liquidations et de bad debt. D’autres plateformes de lending ont également ressenti le choc.

Globalement, le DeFi a perdu environ 13 milliards de TVL dans les heures suivant l’annonce. rsETH, qui représentait une part significative du re-staking liquide sur Ethereum et ses L2, a subi une perte de confiance immédiate. Le prix du token et la valeur verrouillée dans Kelp DAO ont été fortement affectés.

Cet événement rappelle douloureusement les hacks précédents de bridges comme Ronin, Wormhole ou Nomad. À chaque fois, des centaines de millions s’évaporent, érodant la confiance des utilisateurs et ralentissant l’adoption massive.

Ce hack de 290 millions n’est pas seulement une perte financière. C’est un test majeur pour la résilience du DeFi face aux attaques sophistiquées d’acteurs étatiques.

Analystes du secteur

La Réponse de LayerZero : Forcer la Migration vers Multi-DVN

Face à la controverse, LayerZero a pris une mesure radicale. L’équipe annonce qu’elle cessera de signer les messages pour toute application utilisant encore un setup single-validator. Tous les OApps devront migrer vers des architectures multi-vérificateurs s’ils souhaitent continuer à utiliser le protocole.

Cette décision forcée vise à élever le standard de sécurité minimum. Elle reconnaît implicitement que les configurations minimalistes, même si documentées, présentent des risques inacceptables pour des actifs de grande valeur. Cependant, elle soulève aussi des questions sur la rétrocompatibilité et les coûts de migration pour les projets déjà intégrés.

Kelp DAO, de son côté, travaille avec des auditeurs et experts en sécurité pour une root cause analysis complète. Ils prévoient probablement des compensations ou des mécanismes de récupération, bien que dans les hacks cross-chain, les fonds soient souvent difficiles à tracer une fois mixés ou déplacés.

Contexte Plus Large : Les Risques du Liquid Restaking et des Bridges

rsETH est le token de liquid restaking de Kelp DAO, permettant aux utilisateurs de staker de l’ETH via EigenLayer ou d’autres protocoles tout en conservant de la liquidité. Ce secteur a explosé ces dernières années, concentrant des milliards en TVL mais aussi en risques smart contract et opérationnels.

Les bridges, quant à eux, restent le maillon faible de l’interopérabilité. Malgré les avancées en zero-knowledge proofs, multi-sig et oracles décentralisés, les configurations simples persistent. L’attaque présumée par Lazarus Group, connu pour ses opérations sophistiquées financées par l’État nord-coréen, montre que les adversaires évoluent plus vite que les défenses dans certains cas.

Ce hack intervient dans un contexte où le DeFi cherche à maturiser. Les régulateurs scrutent de plus près, les institutionnels hésitent encore, et les utilisateurs retail exigent à la fois rendement et sécurité. Un équilibre difficile à trouver.

Leçons à Tirer pour les Protocoles et les Utilisateurs

Premièrement, la diversification des vérificateurs n’est plus une option mais une nécessité pour tout bridge gérant des sommes significatives. Les setups 1/1 doivent être réservés aux tests ou aux petits montants.

Deuxièmement, la documentation et les defaults d’un fournisseur d’infrastructure doivent être scrutés avec la plus grande attention. Suivre aveuglément les guides peut s’avérer dangereux si ces derniers ne reflètent pas les meilleures pratiques de sécurité actuelles.

Troisièmement, la transparence dans les post-mortems est cruciale. Le jeu de blâme public nuit à la crédibilité collective du secteur. Une collaboration honnête entre Kelp et LayerZero aurait peut-être évité une partie de la controverse.

• Exiger toujours des configurations multi-signatures pour les bridges de production.
• Effectuer des audits indépendants réguliers sur les configurations de sécurité.
• Prévoir des mécanismes de pause d’urgence testés et multisig.
• Éduquer les utilisateurs sur les risques inhérents aux bridges cross-chain.
• Investir dans des solutions de sécurité avancées comme les ZK proofs pour les messageries.

Perspectives d’Avenir pour l’Interopérabilité dans le DeFi

Cet incident pourrait accélérer l’adoption de standards de sécurité plus élevés dans l’écosystème LayerZero et au-delà. D’autres fournisseurs d’interopérabilité comme Chainlink CCIP, Axelar ou Wormhole observeront certainement de près les retombées.

Pour Kelp DAO, la priorité est de restaurer la confiance. Cela passera probablement par une compensation partielle des pertes, une refonte du bridge avec des sécurités renforcées, et une communication transparente avec la communauté.

À plus long terme, le secteur doit résoudre le trilemme de l’interopérabilité : sécurité, décentralisation et performance. Les solutions modulaires sont puissantes, mais elles exigent une gouvernance claire des responsabilités.

Les utilisateurs, quant à eux, devraient diversifier leurs expositions, comprendre les risques des protocoles qu’ils utilisent, et privilégier ceux qui démontrent une culture de sécurité rigoureuse plutôt que des rendements attractifs à court terme.

Réactions de la Communauté et Experts

Sur les réseaux, les discussions vont bon train. Certains défendent Kelp en soulignant que les defaults sont faits pour être suivis. D’autres critiquent sévèrement l’usage d’un single DVN sur un actif majeur. Les chercheurs en sécurité appellent à une plus grande maturité dans les déploiements de production.

Yu Xian de SlowMist a confirmé la nature single-point de la vulnérabilité. Des trackers comme DeFiPrime ont publié des analyses détaillées montrant exactement où le packet frauduleux a été accepté.

Cette affaire relance aussi le débat sur l’attribution aux acteurs étatiques. Si Lazarus est bien derrière, cela souligne la sophistication croissante des menaces dans la crypto, bien au-delà des hackers individuels ou des groupes criminels classiques.

Impact sur le Liquid Restaking et rsETH

Le liquid restaking via des tokens comme rsETH a connu une croissance explosive. Il permet de générer des rendements supplémentaires tout en maintenant la liquidité. Cependant, cela concentre aussi les risques : un problème sur le token impacte à la fois le staking sous-jacent et les positions de lending.

Avec environ 630 000 rsETH en circulation avant l’attaque, la perte de 116 500 unités représente une dilution significative. Même si les contrats ont été pausés rapidement, la confiance dans le mécanisme de mint/burn cross-chain est durablement entachée.

Kelp DAO devra probablement revoir son architecture de bridging, peut-être en intégrant des sécurités additionnelles comme des time-locks, des guardian nodes ou des oracles indépendants.

Comparaison avec d’Autres Hacks Majeurs de 2026

Ce hack de 290 millions surpasse celui de Drift Protocol estimé à 285 millions début avril. Ensemble, ils illustrent une tendance inquiétante : les attaques par ingénierie sociale ou compromission d’infrastructure restent efficaces malgré les progrès technologiques.

Contrairement à des exploits purement smart contract, celui-ci repose sur la couche de messagerie. Cela montre que même avec des contrats audités, la surface d’attaque reste large quand plusieurs composants interagissent.

Les hacks de bridges historiques (Ronin 600M+, Wormhole 325M, etc.) avaient déjà alerté le secteur. Pourtant, les configurations minimales persistent, souvent pour des raisons pratiques.

Recommandations Pratiques pour les Développeurs DeFi

Pour éviter de répéter ces erreurs :

• Implémentez toujours au minimum un 2-of-3 ou équivalent pour les DVN sur les routes de production.
• Testez rigoureusement les scénarios de compromission de validateur unique.
• Documentez clairement les risques de chaque configuration dans les docs publiques.
• Intégrez des mécanismes de monitoring en temps réel pour détecter les anomalies de nonce ou de signatures.
• Collaborez étroitement avec les fournisseurs pour aligner les defaults sur les standards de sécurité les plus élevés.

Les audits ne suffisent plus. Des simulations d’attaques red team et des bug bounties généreux deviennent indispensables.

Que Faire en Tant qu’Utilisateur ?

Face à de tels événements, la prudence reste de mise. Diversifiez vos positions entre plusieurs protocoles. Évitez de concentrer trop de collateral sur un seul token de restaking. Suivez les annonces officielles des équipes et vérifiez les mises à jour de sécurité.

Utilisez des wallets hardware, activez toutes les protections disponibles, et restez sceptique face aux rendements trop attractifs sans compréhension claire des risques sous-jacents.

L’éducation reste l’arme la plus puissante. Comprendre comment fonctionnent les bridges, ce qu’est un DVN, et pourquoi la diversification compte peut sauver vos fonds un jour.

Conclusion : Vers une Meilleure Sécurité Collective

L’affaire Kelp DAO versus LayerZero marque un tournant dans la maturité du DeFi. Elle force l’industrie à regarder en face ses faiblesses structurelles en matière d’interopérabilité. Le blâme mutuel, s’il est compréhensible émotionnellement, doit laisser place à une analyse constructive et à des améliorations concrètes.

LayerZero en forçant la migration vers des setups multi-DVN envoie un signal fort. Kelp DAO, en défendant son respect des defaults, rappelle que la responsabilité est partagée. Ensemble, ils doivent maintenant travailler à restaurer la confiance et à renforcer l’écosystème.

Pour l’ensemble du secteur crypto, cet incident est un rappel salutaire : la décentralisation n’est pas une excuse pour négliger la sécurité opérationnelle. Les protocoles qui sauront tirer les leçons de ce drame en sortiront plus forts. Les autres risquent de disparaître dans l’oubli ou face à la concurrence.

Restez vigilants, informés, et surtout, ne mettez jamais plus que ce que vous pouvez vous permettre de perdre dans des protocoles expérimentaux. L’avenir du DeFi passe par une sécurité robuste, transparente et collective. Le hack de rsETH n’est pas la fin, mais potentiellement le début d’une ère plus mature pour les bridges et le restaking liquide.

Ce drame de 290 millions de dollars nous enseigne que dans la crypto, comme ailleurs, les shortcuts techniques ont souvent un coût élevé. Espérons que cette fois, les leçons seront réellement apprises et mises en pratique par tous les acteurs concernés.