Arbitrum fait semblant d'être un pirate et « vole » l'argent perdu par KelpDAO

marsbitPublié le 2026-04-21Dernière mise à jour le 2026-04-21

Résumé

Arbitrum a récupéré 70 millions de dollars en ETH volés à KelpDAO par des pirates présumés nord-coréens (Lazarus Group) en utilisant une méthode technique inédite. Sans avoir accès aux clés privées, le Conseil de Sécurité d’Arbitrum a temporairement mis à niveau un contrat de pont (Inbox) pour forger une transaction au nom du pirate, déplaçant ainsi les fonds vers une adresse de gel. L’opération, validée par 9 des 12 membres du conseil et coordonnée avec les autorités, a été exécutée en une seule transaction sans perturber le réseau. La communauté réagit de manière mitigée : certains saluent la récupération des fonds, tandis que d’autres s’interrogent sur la centralisation de ce mécanisme d’urgence, présent sur la plupart des L2. Bien que cette action soit perçue positivement, près de 220 millions de dollars volés restent non récupérés sur d’autres chaînes.

Auteur : TechFlow Deep Tide

La semaine dernière, KelpDAO s'est fait voler près de 3 millions de dollars par des pirates, devenant le plus grand incident de sécurité négatif de cette année dans le DeFi.

Les ETH volés sont maintenant dispersés sur plusieurs chaînes, dont environ 30 765 sont restés sur une adresse de la chaîne Arbitrum, d'une valeur de plus de 70 millions de dollars.

On pensait que cette histoire était terminée, mais aujourd'hui, une suite est apparue.

Selon le monitoring de l'agence de sécurité on-chain PeckShield, les fonds de l'adresse du pirate sur la chaîne Arbitrum ont été transférés il y a quelques heures, mais étrangement, ils ont été envoyés à une adresse bizarre composée presque entièrement de zéros : 0x00000...

À l'époque, tout le monde se demandait : est-ce que le pirate a brûlé lui-même l'argent en l'envoyant dans une adresse noire ? Ou a-t-il eu une prise de conscience ou a-t-il été recruté ?

Ni l'un ni l'autre.

Il y a quelques heures, le forum officiel d'Arbitrum a publié un avis d'action urgente expliquant la situation. L'argent du pirate a été transféré par le Conseil de Sécurité d'Arbitrum.

Mais, chose étonnante, sans connaître la clé privée de l'adresse du pirate, le Conseil d'Arbitrum n'a ni gelé l'argent du pirate, ni n'avait l'autorisation de le transférer. Au lieu de cela, il a directement « émis une instruction de transfert au nom du pirate ».

Le pirate lui-même n'était pas au courant, sa clé privée n'a pas été compromise, et les enregistrements on-chain donnaient l'impression que c'était le pirate lui-même qui avait opéré.

Le principe pour réaliser cette opération est que tous les messages cross-chain entre Arbitrum et Ethereum passent par un contrat de pont appelé Inbox. Le Conseil de Sécurité a utilisé ses pouvoirs d'urgence pour mettre à jour temporairement ce contrat, en y ajoutant une nouvelle fonction :

Émettre une transaction cross-chain au nom de n'importe quelle adresse de portefeuille, mais sans avoir besoin de la clé privée de ce portefeuille.

Ensuite, ils ont utilisé cette fonction pour forger un message, dont l'expéditeur était écrit comme étant le portefeuille du pirate, avec le contenu : « Transfère tout mon ETH vers l'adresse de gel ». La chaîne Arbitrum l'a reçu et exécuté comme d'habitude, d'où la scène étrange observée dans la capture d'écran on-chain ci-dessus.

Après avoir transféré l'argent du pirate, ce contrat a été immédiatement rétrogradé à sa version originale. La mise à niveau, la falsification, le transfert et la restauration ont tous été effectués en une seule transaction Ethereum. Les autres utilisateurs et applications n'ont pas été affectés.

Cette opération est sans précédent dans l'histoire d'Arbitrum.

Selon l'annonce du forum, le Conseil de Sécurité a préalablement confirmé l'identité du pirate avec les autorités, pointant vers le Lazarus Group nord-coréen, l'organisation de pirates la plus active cette année dans le domaine du DeFi, de niveau étatique. Le Conseil a effectué une évaluation technique pour s'assurer que cela n'affecterait pas les autres utilisateurs avant d'agir.

Étant donné que le pirate a mal agi en premier, cette manœuvre a un peu un sens de « ne blâmez pas tout le monde de ne pas jouer selon les règles ». Quant au traitement ultérieur des ETH gelés, il devra passer par un vote de gouvernance du DAO d'Arbitrum et être coordonné avec les autorités.

Récupérer plus de 70 millions de dollars volés est bien sûr une bonne chose. Mais la condition préalable pour y parvenir mérite d'être notée : 9 membres sur les 12 du Conseil de Sécurité peuvent signer pour contourner tout vote de gouvernance et mettre à niveau n'importe quel contrat central on-chain avec zéro délai.

Louer le résultat, s'inquiéter des capacités ?

Actuellement, la réaction de la communauté est très divisée.

Certains pensent qu'Arbitrum a bien agi, protégeant les actifs au moment crucial, ce qui a même renforcé un peu la confiance dans les L2. D'autres posent une question très directe : si 9 personnes peuvent signer pour déplacer n'importe quel actif au nom de n'importe qui, peut-on encore appeler cela de la décentralisation.

L'auteur estime que les deux parties ne parlent pas vraiment de la même chose.

Les premiers parlent du résultat, les seconds de la capacité. Le résultat de cette affaire est certainement bon, plus de 70 millions de dollars volés ont été récupérés. Mais la capacité elle-même, démontrée par Arbitrum cette fois, de modifier les fonctions du contrat via multisig est neutre ; utilisée cette fois pour poursuivre un pirate, ce pour quoi elle sera utilisée à l'avenir, si elle peut l'être et comment, dépendra en réalité de la gouvernance du comité.

Cependant, pour la majorité des utilisateurs d'Arbitrum, cette discussion n'est peut-être pas aussi concrète qu'un autre fait. Arbitrum n'est pas spécial, presque toutes les L2 mainstream actuelles conservent des permissions de mise à jour d'urgence similaires.

La chaîne que vous utilisez a très probablement un Conseil de Sécurité similaire, avec des capacités similaires. Ce n'est donc pas un choix unique à Arbitrum, les L2 à ce stade ont presque toutes cette conception générale.

Sous un autre angle, cette attaque et cette défense révèlent en fait une image plus large.

L'attaquant est le Lazarus Group nord-coréen, à qui ont été attribués au moins 18 attaques DeFi depuis le début de l'année. Il y a trois semaines, il a volé 2,85 millions de dollars à Drift Protocol, en utilisant une méthode complètement différente.

D'un côté, des pirates de niveau étatique ne cessent de perfectionner leurs méthodes d'attaque, de l'autre, les L2 commencent à utiliser des permissions de bas niveau pour contre-attaquer. La guerre de la sécurité dans le DeFi est en train de passer de « gel après coup, discussions on-chain, prières pour une intervention white hat » à une nouvelle phase.

En période exceptionnelle, ils ont forgé une clé universelle pour ouvrir l'adresse du pirate, puis ont fondu la clé une fois terminé. Rien que pour cet événement, avoir la capacité de répondre aux attaques des pirates n'est pas si mal.

Et si l'on doit absolument élever cela à une discussion philosophique du type « ce n'est pas du tout décentralisé », alors il y a beaucoup à dire. Les opérations centralisées dans l'industrie crypto ne manquent pas, cette fois au moins, il s'agissait de traiter un événement négatif et de résoudre un problème, et non d'en créer un.

Pour revenir à un point de vue plus pragmatique, KelpDAO s'est fait voler 292 millions, et seulement un peu plus de 70 millions ont été récupérés, soit moins d'un quart du total. Le reste des ETH est toujours dispersé sur d'autres chaînes, plus de 100 millions de dollars de bad debt sur Aave n'ont toujours pas de solution, et on ne sait pas combien les détenteurs de rsETH récupéreront.

Même si Arbitrum a utilisé des permissions divines, cette bataille est visiblement loin d'être terminée.

Questions liées

QQuel est la somme d'argent volée à KelpDAO et combien a été récupérée sur Arbitrum ?

AKelpDAO a été victime d'un vol de près de 3 millions de dollars. Environ 30 765 ETH, d'une valeur de plus de 70 millions de dollars, qui se trouvaient sur Arbitrum ont été récupérés par le Conseil de Sécurité d'Arbitrum.

QComment le Conseil de Sécurité d'Arbitrum a-t-il réussi à déplacer les fonds sans la clé privée du pirate ?

ALe Conseil de Sécurité a utilisé ses pouvoirs d'urgence pour mettre à niveau temporairement le contrat de pont Inbox. Ils ont ajouté une nouvelle fonction permettant d'émettre une transaction cross-chain au nom de n'importe quelle adresse de portefeuille, sans avoir besoin de sa clé privée. Ils ont forgé un message semblant provenir du pirate pour transférer les fonds vers une adresse de gel.

QQui est identifié comme étant responsable de l'attaque contre KelpDAO ?

AL'identité des pirates a été confirmée par les autorités comme étant le Lazarus Group, un groupe de pirates affilié à la Corée du Nord et l'un des plus actifs dans le domaine DeFi cette année.

QQuelle a été la réaction de la communauté face à l'action d'Arbitrum ?

ALa réaction de la communauté a été divisée. Une partie a félicité Arbitrum pour avoir sécurisé les actifs, renforçant ainsi la confiance dans le L2. Une autre partie s'est interrogée sur le niveau de décentralisation, étant donné que 9 membres sur 12 du Conseil peuvent contourner tout vote de gouvernance pour mettre à niveau les contrats.

QEst-ce qu'Arbitrum est la seule plateforme L2 à disposer de tels pouvoirs d'urgence ?

ANon, Arbitrum n'est pas unique. La plupart des L2 grand public conservent actuellement des permissions de mise à niveau d'urgence similaires, avec un conseil de sécurité ayant des capacités analogues.

Lectures associées

Une Extorsion Cryptographique Frappe le Détroit d'Ormuz Alors que les Escrocs Exploitent la Crise du Transport Maritime

Des escrocs exploitent la crise maritime actuelle dans le détroit d'Hormuz en envoyant de faux messages aux compagnies de navigation. Se faisant passer pour les autorités iraniennes, ils proposent un passage sécurisé en échange de frais de transit payables en Bitcoin ou Tether (USDT). Le cabinet maritime Marisks a confirmé la fraude. Le processus semble crédible : vérification de documents, fixation des frais en crypto-monnaie et promesse d’escorte. La fermeture du détroit, voie cruciale pour le pétrole, rend les armateurs vulnérables. Payer expose non seulement à une arnaque financière, mais aussi à de lourdes sanctions internationales, tout transfert étant susceptible d’être considéré comme un soutien matériel à l'Iran. Aucune réaction officielle de Téhéran n’a été enregistrée.

bitcoinistIl y a 1 h

Une Extorsion Cryptographique Frappe le Détroit d'Ormuz Alors que les Escrocs Exploitent la Crise du Transport Maritime

bitcoinistIl y a 1 h

Un chercheur du MIT propose une nouvelle voie pour rendre Bitcoin résistant aux ordinateurs quantiques

La directrice de l'initiative monétaire numérique du MIT, Neha Narula, propose une feuille de route pour protéger Bitcoin contre les futures attaques quantiques. Elle préconise une approche progressive : déployer dès maintenant une mise à jour logicielle (soft fork) introduisant un nouveau type de transaction sécurisé (P2MR, BIP 360) et un schéma de signature post-quantique. L'objectif est de permettre aux utilisateurs de sécuriser leurs fonds immédiatement sans attendre de résoudre les questions plus complexes, comme le sort des coins inactifs ou perdus. Narula estime que cette première étape, à faible risque et à fort bénéfice, est urgente. Elle générerait des données précieuses sur l'adoption et donnerait au réseau plus de temps pour se préparer. Bien que cette solution n'offre pas une protection à 100% (notamment en cas de réutilisation d'adresse), elle constitue une avancée cruciale. Le débat sur les mesures plus radicales pour les coins vulnérables peut être reporté à lorsque la menace quantique sera plus imminente.

bitcoinistIl y a 1 h

Un chercheur du MIT propose une nouvelle voie pour rendre Bitcoin résistant aux ordinateurs quantiques

bitcoinistIl y a 1 h

Ce qu'il faut savoir sur la poussée de la loi CLARITY cette semaine – et pourquoi la mi-mai est désormais cruciale

Après des mois de retard, le Sénat américain entre dans une phase décisive concernant le CLARITY Act. La commission bancaire doit notifier d'ici vendredi une révision du texte pour un vote fin avril, mais des pressions du secteur bancaire traditionnel pourraient repousser l'examen à mi-mai. Les banques contestent les restrictions sur les rendements des stablecoins, ciblant particulièrement le sénateur Thom Tillis. Bien qu'un compromis ait été trouvé fin mars satisfaisant l'industrie crypto, le texte n'est pas public. Des questions éthiques et des dispositions sur la finance décentralisée (DeFi) restent également en suspens. Tillis se dit optimiste malgré les négociations en cours.

bitcoinistIl y a 2 h

Ce qu'il faut savoir sur la poussée de la loi CLARITY cette semaine – et pourquoi la mi-mai est désormais cruciale

bitcoinistIl y a 2 h

Coinbase Lance des Prêts Garantis par Crypto-monnaies en USDC pour les Utilisateurs Britanniques dans le Cadre de sa Dernière Expansion

Coinbase, la plus grande plateforme d'échange de crypto-monnaies aux États-Unis, a étendu son service de prêts garantis par crypto-monnaies aux résidents britanniques. Les utilisateurs peuvent désormais emprunter jusqu’à 5 millions de dollars en USDC en utilisant Bitcoin, Ethereum ou cbETH comme garantie, via le protocole Morpho sur le réseau Base. Les actifs sont verrouillés dans un contrat intelligent jusqu’au remboursement, sans échéance fixe, mais avec un risque de liquidation si le ratio prêt-valeur dépasse un certain niveau. Ce service, déjà populaire aux États-Unis avec plus de 2,17 milliards de dollars d’USDC prêtés, s’inscrit dans l’expansion continue de Coinbase au Royaume-Uni, après son enregistrement auprès de la FCA et le lancement de comptes d’épargne et de trading décentralisé. L’entreprise poursuit également son intégration dans la finance traditionnelle, avec des produits hypothécaires adossés aux crypto-actifs et une approbation réglementaire aux États-Unis pour sa fiducie nationale.

bitcoinistIl y a 4 h

Coinbase Lance des Prêts Garantis par Crypto-monnaies en USDC pour les Utilisateurs Britanniques dans le Cadre de sa Dernière Expansion

bitcoinistIl y a 4 h

L'analyse des flux de capitaux révèle qu'Ozak AI absorbe la liquidité du BTC, de l'ETH et du SOL lors des replis du marché

Selon une analyse des flux de capitaux, Ozak AI attire les liquidités retirées du BTC, de l'ETH et du SOL lors des replis du marché. Alors que les grandes capitalisations voient leur potentiel de hausse à court terme diminuer, les investisseurs se tournent vers des projets émergents comme Ozak AI pour rechercher des rendements asymétriques. Le jeton, en phase de prévente à 0,014 $, a déjà levé plus de 6,8 millions de dollars avec plus de 1,17 milliard de jetons vendus. Les entrées de capitaux sont constantes et soutenues, reflétant une accumulation stratégique plutôt qu’un engouement spéculatif. Plusieurs facteurs expliquent cet attrait : une valorisation relative attractive, une utilité native autour de l'IA via des infrastructures concrètes, et un timing favorable en phase de démarrage. Les analystes interprètent cette rotation comme structurelle et non opportuniste, s’appuyant sur des tendances historiques où les replis des grands actifs favorisent l’accumulation de projets prometteurs. Ozak AI bénéficie également des dynamiques sectoriales positives autour de l’IA, renforcées par des partenariats avec Pyth Network, SINT, HIVE Intel et Weblume. Cette liquidité, une fois captée, tend à se stabiliser et à soutenir une croissance composée de la valorisation.

TheNewsCryptoIl y a 5 h

L'analyse des flux de capitaux révèle qu'Ozak AI absorbe la liquidité du BTC, de l'ETH et du SOL lors des replis du marché

TheNewsCryptoIl y a 5 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow