Wu Blockchain rapporte que Kelp DAO a subi une importante exploitation cross-chain qui a drainé environ 116 500 rsETH, d'une valeur de près de 292 millions de dollars. Cet incident soulève de nouvelles inquiétudes concernant la sécurité du protocole, survenant moins d'un an après une perturbation précédente liée à un bogue de contrat intelligent.
La Réponse de Kelp DAO Empêche des Tentatives d'Exploitation Supplémentaires
Selon les données de la blockchain, l'attaque contre Kelp DAO a exploité une faille dans la communication cross-chain, ciblant spécifiquement le mécanisme de pont utilisé pour transférer des actifs entre les réseaux. L'exploitation a été exécutée via un appel à la fonction « Iz Receive » sur EndpointV2 de LayerZero, ce qui a finalement déclenché le transfert des fonds vers un portefeuille contrôlé par l'attaquant.
L'enquêteur on-chain ZachXBT a été l'un des premiers à découvrir la brèche, estimant les pertes à plus de 280 millions de dollars sur Ethereum et Arbitrum. L'enquêteur a également noté que les adresses utilisées pour l'attaque avaient été initialement financées via Tornado Cash, indiquant un effort délibéré pour dissimuler les sources de financement de cette attaque hautement coordonnée.
Plus tôt aujourd'hui, nous avons identifié une activité cross-chain suspecte impliquant le rsETH. Nous avons suspendu les contrats rsETH sur le mainnet et plusieurs L2 pendant que nous enquêtons.
Nous travaillons avec @LayerZero_Core, @unichain, nos auditeurs et des experts en sécurité de premier plan sur l'analyse RCA.
Nous vous tiendrons...
— Kelp (@KelpDAO) 18 avril 2026
En réponse à cette attaque, Kelp DAO a immédiatement suspendu tous les contrats rsETH sur son mainnet et les réseaux L2 connectés. Le protocole a également gelé l'activité de ses contrats et systèmes principaux couvrant les dépôts, les retraits et les fonctions oracle. Selon Kelp DAO, une enquête est en cours avec LayerZero et Unichain.
Notamment, l'attaquant a tenté deux transactions supplémentaires pour drainer 40 000 rsETH supplémentaires, d'une valeur proche de 100 millions de dollars. Cependant, les mesures rapides de Kelp DAO ont assuré l'échec des deux tentatives, empêchant ainsi que les pertes n'atteignent 391 millions de dollars.
Aave Gèle les Contrats rsETH
Par ailleurs, les retombées se sont rapidement propagées au-delà de Kelp DAO, les protocoles de prêt subissant une pression immédiate. Aave, l'une des plus grandes plateformes de prêt DeFi, a répondu en gelant les marchés rsETH sur ses déploiements V3 et V4.
Cependant, Aave a précisé que ses propres contrats intelligents n'avaient pas été exploités et que cette mesure est purement préventive pour limiter toute exposition supplémentaire à la dette liée au rsETH alors qu'ils évaluent la situation. La direction d'Aave s'engage également à évaluer des stratégies d'atténuation potentielles si une mauvaise dette émerge de ces exploitations.
Les marchés rsETH sur Aave V3 et Aave V4 ont été gelés. Les contrats d'Aave n'ont pas été exploités et il s'agit d'une exploitation liée au rsETH.
Le gel fait suite à une exploitation du pont rsETH de Kelp DAO. Geler les marchés rsETH empêche de nouveaux dépôts et emprunts contre le rsETH...
— Aave (@aave) 18 avril 2026
Le rsETH lui-même est un jeton de restaking liquide conçu pour représenter de l'ETH stake tout en permettant aux utilisateurs de gagner un rendement supplémentaire grâce à des stratégies de restaking. Il joue un rôle clé dans le DeFi cross-chain, permettant au capital de se déplacer de manière transparente sur plusieurs réseaux, y compris Arbitrum, Base et Scroll. L'ampleur de l'exploitation est particulièrement dommageable car les fonds volés représentent environ 18 % de l'offre circulante totale du rsETH, ce qui constitue un coup significatif à la fois pour la liquidité et la confiance des utilisateurs.
