Piratage à 293 Millions : LayerZero et KelpDAO s’Accusent Mutuellement

Imaginez un samedi ordinaire dans le monde de la finance décentralisée. Soudain, un attaquant exécute une opération qui libère l’équivalent de 293 millions de dollars en tokens sortis de nulle part. Pas de vente frénétique sur le marché, mais un dépôt astucieux sur un protocole de lending majeur, suivi d’un emprunt massif en Ether bien réel. En quelques minutes, la DeFi tremble, et deux acteurs clés se lancent dans une guerre de communiqués contradictoires.

Ce scénario n’est pas une fiction dystopique, mais l’exploit qui a frappé KelpDAO le 18 avril 2026. Ce piratage, le plus important de l’année dans l’écosystème DeFi jusqu’à présent, met en lumière les vulnérabilités persistantes des bridges cross-chain et soulève des questions cruciales sur la responsabilité partagée entre les protocoles. LayerZero et KelpDAO se renvoient la balle, tandis qu’Aave encaisse les conséquences avec près de 200 millions de mauvaise dette et un bank run historique.

Le Week-End Chaotique qui a Ébranlé la DeFi

Le 18 avril 2026 à 17h35 UTC, l’attaque commence. Un message forgé est envoyé au bridge de KelpDAO, alimenté par la technologie de LayerZero. Le système l’accepte sans vérification approfondie et libère 116 500 tokens rsETH, représentant environ 293 millions de dollars au cours du moment. Ces tokens, qui n’auraient jamais dû exister en telle quantité, sont immédiatement utilisés comme collateral sur Aave V3 et V4.

L’attaquant n’a pas cherché à dump les tokens sur le marché ouvert, une tactique qui aurait pu alerter rapidement les mécanismes de liquidations. Au lieu de cela, il emprunte du WETH réel, transférant la valeur volée sous une forme plus liquide. Lorsque KelpDAO active enfin la pause d’urgence 46 minutes plus tard, une partie significative des fonds a déjà changé de mains. Les conséquences se propagent comme une onde de choc à travers l’écosystème.

En moins de 48 heures, Aave voit sa TVL chuter de 26,4 milliards à environ 17,9 milliards de dollars, soit une perte nette de près de 8 milliards. Le token AAVE perd 18 % de sa valeur en peu de temps. Des retraits massifs s’opèrent, créant un véritable bank run qui met en tension les pools de liquidité, particulièrement ceux en WETH qui atteignent 100 % d’utilisation. La confiance, déjà fragile dans la DeFi, vacille une nouvelle fois.

Cet événement n’arrive pas isolément. Il s’inscrit dans une série d’exploits majeurs en 2026, dont celui de Drift Protocol pour 285 millions de dollars au début du mois d’avril. La DeFi semble confrontée à une vague de sophistication croissante de la part des attaquants, souvent liés à des groupes étatiques comme Lazarus, affilié à la Corée du Nord.

Rappel des Faits Techniques de l’Exploit

Pour comprendre la mécanique, il faut plonger dans le fonctionnement des bridges cross-chain. KelpDAO, un protocole de liquid restaking sur Ethereum, utilise rsETH comme token représentant des Ether restakés. Pour permettre à ce token de circuler sur plus de 20 blockchains différentes, le projet s’appuie sur un bridge intégré à l’infrastructure de LayerZero, un protocole de messagerie inter-chaînes réputé pour sa flexibilité.

L’attaquant a réussi à forger un message qui a trompé le mécanisme de vérification. En exploitant une configuration à vérificateur unique (single-DVN), il a convaincu le bridge de libérer des tokens rsETH non adossés. Ces tokens ont ensuite servi de collateral fictif sur Aave, permettant d’emprunter du WETH réel. L’opération démontre une compréhension fine des interactions entre protocoles, typique des attaques de haut niveau.

L’attaque n’a pas compromis directement le protocole LayerZero, mais a ciblé une configuration spécifique qui reposait sur une redondance insuffisante.

Communiqué officiel de LayerZero

Les enquêteurs on-chain pointent rapidement vers le groupe Lazarus, connu pour sa sophistication et son implication dans de nombreux hacks crypto ces dernières années. L’empoisonnement présumé de l’infrastructure RPC en aval du DVN de LayerZero Labs ajoute une couche de complexité, suggérant une attaque de niveau étatique plutôt qu’une simple faille de code.

La Version de LayerZero : Tout est la Faute de KelpDAO

LayerZero réagit rapidement et publie un communiqué ferme. Selon eux, l’incident est entièrement isolé à la configuration rsETH de KelpDAO. Ils insistent sur le fait que le setup single-DVN adopté par Kelp contredisait directement les recommandations répétées en faveur d’une redondance multi-DVN. Cette configuration à un seul vérificateur aurait rendu l’attaque possible, alors qu’un système multi-vérificateurs l’aurait bloquée.

LayerZero affirme avoir mené un audit complet des autres intégrations sans identifier de contagion. Ils soulignent que le protocole lui-même n’a pas été compromis, mais que l’infrastructure RPC utilisée par leur DVN a été ciblée en aval. Pour eux, la responsabilité repose clairement sur la couche applicative, c’est-à-dire sur KelpDAO et sa façon de déployer le bridge.

Dans la foulée, LayerZero annonce une mesure radicale : ils ne signeront plus aucun message pour les applications configurées en 1/1. Cette décision, prise après l’incident, interroge sur la cohérence des recommandations antérieures. Si le single-DVN était jugé inacceptable après le hack, pourquoi était-il encore toléré auparavant ?

La Réponse de KelpDAO : La Documentation Officielle en Cause

KelpDAO ne reste pas silencieux. Après un premier message minimaliste confirmant l’attaque et la mise en pause des contrats, l’équipe publie une contre-attaque détaillée sur CoinDesk. Leur argument principal : la configuration single-DVN n’était pas un choix exotique ou risqué fait en secret, mais bien celle recommandée par défaut dans la documentation officielle de LayerZero.

Ils citent le guide quickstart, les templates GitHub et le V2 OApp Quickstart, tous pointant vers un setup 1/1. Pourquoi reprocher à un intégrateur d’avoir suivi scrupuleusement les instructions publiques ? De plus, le vérificateur unique corrompu tournait sur l’infrastructure propre de LayerZero Labs, et non sur un serveur tiers géré par KelpDAO.

KelpDAO révèle également que les communications directes avec LayerZero depuis juillet 2024 n’ont jamais inclus de recommandation explicite et urgente d’abandonner le 1/1 pour rsETH. La thèse des « recommandations constantes » est ainsi contestée frontalement. Enfin, la pause d’urgence activée 46 minutes après l’attaque aurait bloqué deux tentatives supplémentaires qui auraient pu drainer environ 200 millions de dollars de plus.

Accuser Kelp d’avoir mal configuré un composant qu’elle n’opérait même pas relève d’une certaine mauvaise foi.

Réponse de KelpDAO à LayerZero

Cette bataille de versions met en évidence un problème structurel dans l’écosystème : la responsabilité est souvent diluée entre le fournisseur d’infrastructure et l’intégrateur applicatif. Qui doit vérifier quoi ? Où s’arrête la documentation et où commence la responsabilité de l’utilisateur du protocole ?

Les Conséquences sur Aave et le Bank Run Historique

Si le bridge de KelpDAO a été la porte d’entrée, Aave a subi les répercussions les plus visibles. Les tokens rsETH volés ont servi de collateral pour emprunter du WETH, créant une dette irrécouvrable une fois les contrats gelés. Les estimations varient entre 177 et 236 millions de dollars de mauvaise dette, avec un consensus autour de 200 millions.

La réaction des utilisateurs a été immédiate : un bank run massif avec 8 milliards de dollars de retraits nets. La TVL d’Aave a chuté brutalement, et les pools WETH ont atteint une utilisation de 100 %, bloquant temporairement les retraits pour certains déposants. Le token AAVE a perdu jusqu’à 18 % en valeur, reflétant la perte de confiance.

Aave n’a pas été directement hacké, mais cet incident expose les risques systémiques liés à l’acceptation de collaterals cross-chain sans mécanismes de vérification en temps réel suffisamment robustes. Les discussions sur des solutions comme Umbrella, des haircuts sur les positions ou même du slashing sur les stkAAVE ont rapidement émergé au sein de la communauté.

Lazarus Group : Le Spectre Nord-Coréen derrière les Grands Hacks

Les indicateurs préliminaires attribuent l’attaque au groupe Lazarus, une entité cybernétique liée à la Corée du Nord. Ce groupe est derrière une grande partie des exploits crypto majeurs des dernières années, utilisant des techniques sophistiquées incluant le social engineering, l’empoisonnement d’infrastructures et l’exploitation de bridges.

Leur modus operandi consiste souvent à éviter les dumps immédiats sur le marché pour minimiser les traces. Ici, l’utilisation du collateral sur Aave pour emprunter du WETH correspond parfaitement à cette stratégie. L’attaque démontre une connaissance approfondie non seulement du code, mais aussi des interactions économiques entre protocoles.

Cette attribution renforce les craintes d’une menace étatique croissante contre la DeFi. Les fonds volés pourraient servir à financer des activités hors du cadre légal, posant des questions géopolitiques qui dépassent le simple cadre technique.

Les Leçons à Tirer pour l’Écosystème DeFi

Cet incident révèle plusieurs faiblesses structurelles. D’abord, la dépendance aux bridges cross-chain reste un point de fragilité majeur. Même les protocoles les plus réputés comme LayerZero peuvent devenir des vecteurs d’attaque si les configurations ne sont pas suffisamment robustes.

Ensuite, la documentation officielle des protocoles doit être claire et cohérente. Recommander un setup par défaut tout en le critiquant après un exploit pose un problème de crédibilité. Les intégrateurs, surtout les plus petits, suivent souvent les guides quickstart pour accélérer leur déploiement. Une responsabilité partagée semble inévitable.

Enfin, les mécanismes de pause d’urgence, bien qu’utiles, arrivent souvent trop tard. Dans ce cas, 46 minutes ont suffi pour que l’attaquant extrait une valeur massive. Des systèmes de détection en temps réel et des oracles plus sophistiqués pourraient limiter les dégâts futurs.

• Renforcer la redondance des vérificateurs (multi-DVN obligatoire)
• Améliorer la vérification de collateral cross-chain sur les protocoles de lending
• Clarifier les responsabilités entre infrastructure et applications
• Développer des outils de monitoring en temps réel pour les bridges
• Encourager des audits croisés et des simulations d’attaques régulières

Comment les Utilisateurs Peuvent Protéger Leurs Actifs

Face à ces risques, la prudence reste de mise. Diversifier ses positions entre plusieurs protocoles réduit l’exposition à un seul point de défaillance. Éviter les yields trop attractifs sans comprendre les risques sous-jacents est également essentiel.

Surveiller les communications officielles des protocoles et les alertes on-chain peut permettre de réagir plus rapidement. Dans le cas présent, les utilisateurs qui ont retiré rapidement d’Aave ont limité leurs pertes potentielles, même si la panique a amplifié le bank run.

À plus long terme, l’écosystème doit évoluer vers une plus grande maturité. Des normes de sécurité communes, des assurances décentralisées plus efficaces et une régulation intelligente pourraient contribuer à restaurer la confiance. Mais la DeFi restera toujours un espace où l’innovation va de pair avec le risque.

Perspectives Futures pour KelpDAO, LayerZero et Aave

Pour KelpDAO, la priorité est la reconstruction de la confiance. Le protocole doit démontrer qu’il a tiré les leçons de cet incident, notamment en migrant vers des configurations plus sécurisées. La compensation éventuelle des utilisateurs impactés sera un test majeur de leur engagement communautaire.

LayerZero, en tant qu’infrastructure critique, doit clarifier ses recommandations et renforcer ses mécanismes de sécurité. L’annonce de refuser les setups 1/1 est un premier pas, mais elle doit s’accompagner d’une transparence accrue sur les audits et les tests de résistance.

Aave, malgré le choc, reste le leader du lending DeFi. L’incident pourrait accélérer le déploiement de fonctionnalités plus robustes dans V4, comme une meilleure gestion des risques cross-chain. La communauté devra trancher sur les mécanismes de récupération de la mauvaise dette.

Cet exploit de 293 millions de dollars n’est pas seulement une perte financière. Il constitue un moment de vérité pour la DeFi, forçant l’écosystème à affronter ses limites et à innover pour survivre. La bataille entre LayerZero et KelpDAO illustre parfaitement les tensions inhérentes à un système décentralisé où la responsabilité est partagée mais souvent mal définie.

Alors que l’enquête se poursuit et que les fonds restent traçables sur la blockchain, une chose est certaine : la vigilance collective reste le meilleur rempart contre les prochaines attaques. La DeFi a survécu à de nombreuses crises par le passé. Celle-ci pourrait bien être l’occasion d’un saut qualitatif en matière de sécurité.

Dans les semaines à venir, les discussions au sein des DAOs, les propositions de gouvernance et les mises à jour techniques seront scrutées de près. Les utilisateurs, les développeurs et les investisseurs ont tous un rôle à jouer pour que la finance décentralisée devienne non seulement innovante, mais aussi résiliente face aux menaces croissantes.

Ce piratage marque peut-être la fin d’une ère d’optimisme naïf sur les bridges cross-chain. Il ouvre également la voie à une DeFi plus mature, où la sécurité n’est plus une option mais une exigence fondamentale. Reste à voir si les leçons seront véritablement apprises ou si l’histoire se répétera avec des montants encore plus élevés.

En attendant, le marché crypto continue sa route, avec ses hauts et ses bas. Les opportunités existent toujours pour ceux qui savent analyser les risques avec lucidité. Mais cet incident rappelle que dans la DeFi, comme ailleurs, la prudence n’est jamais superflue.