Le 18 mai 2026, Aave a rétabli les ratios prêt-valeur (LTV) du WETH sur six déploiements V3, signalant une quasi-résolution de la plus grande attaque DeFi de l'année. Selon le communiqué officiel publié sur X à 07h05 UTC, 95,4% des rsETH non garantis ont été récupérés en trente jours. Pourtant, 30 765 ETH, soit environ 71 millions de dollars selon les données de Chainalysis, restent gelés sur Arbitrum, au coeur d'un litige soumis à un tribunal fédéral de Manhattan. DeFi n'a pas attendu les régulateurs. Le secteur a organisé lui-même sa propre reconstruction.
Rapport d'incident de sécurité
Protocole
Kelp DAO (rsETH Bridge)
Montant soustrait
292 M$ (116 500 rsETH)
Chaînes
Ethereum + 20 L2 (Arbitrum, Base, Linea, Unichain, Mantle, Scroll)
Date
18 avril 2026 · 17h35 UTC
Vecteur d'attaque
Compromission des noeuds RPC alimentant le DVN (Decentralized Verifier Network) de LayerZero Labs, combinée à une attaque DDoS sur les noeuds non compromis. Les noeuds infectés ont injecté un faux message cross-chain depuis Unichain, forçant le contrat Ethereum à libérer 116 500 rsETH sans aucune couverture. Configuration 1-sur-1 DVN: point de défaillance unique.
Réponse du protocole
Kelp a suspendu les contrats principaux à 18h21 UTC (46 minutes après le drain), bloquant deux tentatives suivantes de 100 M$. Aave, SparkLend et Fluid ont gelé les marchés rsETH. Le 21 avril, le Conseil de sécurité d'Arbitrum a gelé 30 765 ETH. Le 23 avril, Aave a lancé DeFi United avec Lido, EtherFi et Stani Kulechov.
Source: Chainalysis, Hypernative, CoinDesk · 18 avril 2026
Le vecteur d'attaque, tel que reconstitué par Chainalysis et CoinDesk le 18 avril 2026, reposait sur une infiltration en deux temps. Les noeuds RPC infectés ont transmis au DVN de LayerZero un faux message cross-chain depuis Unichain. Les noeuds non compromis ont été simultanément mis hors ligne par DDoS, ne laissant que les noeuds corrompus comme seule source de données. Le contrat Ethereum a reçu l'instruction et l'a exécutée: 116 500 rsETH libérés, contre un solde réel d'environ 49 rsETH sur Unichain. La configuration 1-sur-1 DVN n'offrait aucune redondance pour détecter l'écart.
Kelp a suspendu les contrats principaux à 18h21 UTC, soit 46 minutes après le début du drain, bloquant deux tentatives suivantes qui auraient prélevé 100 millions supplémentaires. Aave, SparkLend et Fluid ont gelé leurs marchés rsETH immédiatement. Le 21 avril, le Conseil de sécurité d'Arbitrum a gelé 30 765 ETH on-chain.
État de la récupération au 18 mai 2026
- rsETH non garantis créés 112 103
- rsETH récupérés au total 106 993 (95,4%)
- via liquidations Aave 89 567 rsETH
- via Compound 17 426 rsETH
- Déficit résiduel (DeFi United) ~5 200 rsETH
- Fonds DeFi United collectés 327,95 M$
Source: Aave Governance Forum · CoinDesk · 18 mai 2026
Source: Aave Governance Forum · CoinDesk · 18 mai 2026
Comment DeFi United a reconstruit ce que Lazarus avait détruit
23 avril 2026. Cinq jours après l'exploit, Stani Kulechov annonce une contribution personnelle de 5 000 ETH à un fonds de récupération. Lido Finance s'engage avec 2 500 stETH (environ 5,7 millions de dollars à ce moment-là), et EtherFi propose un plan équivalent à 5 000 ETH. L'initiative prend le nom de DeFi United: un fonds de récupération coordonné, constitué en quelques semaines, sans mandat institutionnel ni garantie étatique. L'objectif était de couvrir le déficit en rsETH et d'éviter des liquidations forcées en cascade sur l'ensemble de l'écosystème.
Selon le forum de gouvernance d'Aave, le fonds a finalement levé 327,95 millions de dollars, soit environ quatre fois le montant nécessaire pour combler le déficit. La coalition s'est formée avant même que les régulateurs n'aient commencé à réagir. Pour un compte rendu complet du hack initial: Kelp DAO: 292 M$ drainés du bridge rsETH LayerZero. Le différend technique entre Kelp et LayerZero est analysé ici: LayerZero, l'accusation Lazarus et le différend sur la config DVN.
On April 18 at 17:35 UTC, an attacker drained 116,500 rsETH (~$292M, ~18% of circulating supply) from Kelp DAO's LayerZero-powered bridge.
, CredShields (@CredShields) April 19, 2026
$292M drained, 2026's largest DeFi hack so far.
Here's how it unfolded and what it means. 👇 https://t.co/D7i53vaj6p
Le 18 mai, Aave a rétabli les ratios LTV du WETH sur six déploiements V3: Ethereum Core, Ethereum Prime, Arbitrum, Base, Mantle et Linea, les ramenant aux niveaux d'avant l'exploit. L'annonce officielle a été publiée sur X à 07h05 UTC. Pour les utilisateurs actifs de la DeFi, la signification pratique est directe: le marché de prêt le plus important de l'écosystème est à nouveau pleinement opérationnel. L'emprunt adossé à ETH sur six réseaux reprend, la liquidité est de retour et les stratégies à effet de levier, bloquées pendant un mois, peuvent redémarrer.
L'exploit Kelp DAO: qui assumera les pertes?
Concrètement, le groupe Lazarus de Corée du Nord, selon la reconstitution publiée par LayerZero et Chainalysis, a mené une opération en trois phases. D'abord, le groupe a compromis deux noeuds RPC alimentant le vérificateur du bridge. Ensuite, une attaque DDoS a mis hors ligne les noeuds non compromis, ne laissant comme seule source de données que les noeuds infectés. Enfin, un faux message cross-chain depuis Unichain a ordonné au contrat Ethereum de libérer 116 500 rsETH, comme si une transaction légitime avait eu lieu sur Unichain. Or il n'en était rien. Le solde en circulation sur Unichain à cet instant était d'environ 49 rsETH. Le message indiquait 116 500. Le contrat a exécuté.
La configuration 1-sur-1 DVN constituait la faiblesse structurelle: un seul vérificateur, aucune redondance. Kelp soutient qu'il s'agissait de la configuration par défaut de LayerZero au moment du déploiement. LayerZero affirme avoir recommandé plusieurs vérificateurs. Selon les données publiées au moment de l'attaque, 40% des protocoles actifs sur LayerZero utilisent encore aujourd'hui le même setup à vérificateur unique.
Les 71 M$ gelés et le recours judiciaire des victimes nord-coréennes
21 avril. Le Conseil de sécurité d'Arbitrum gèle 30 765 ETH, soit environ 71 millions de dollars au moment de l'action, tracés via des mouvements on-chain liés à l'attaquant. L'intention était de restituer ces fonds aux utilisateurs lésés. Mais le 5 mai, des avocats représentant des victimes américaines du terrorisme d'État nord-coréen déposent une requête auprès du tribunal fédéral du district sud de New York. Leur argument: ces fonds constitueraient une «propriété de l'État nord-coréen» au sens du Terrorism Risk Insurance Act (TRIA), et seraient donc saisissables pour satisfaire les jugements déjà obtenus contre Pyongyang.
Aave a déposé une mémoire en réponse: les fonds appartiennent aux utilisateurs du protocole, non à la Corée du Nord. Les maintenir gelés provoquerait des «liquidations en cascade et des préjudices irréparables» pour des parties sans aucun lien avec le groupe Lazarus. La partie adverse a renforcé sa position dans un second dépôt du 6 mai: les propres conditions d'utilisation d'Aave stipulent explicitement que la plateforme n'a ni «possession, garde ni contrôle» sur les actifs des utilisateurs. Si Aave ne contrôle pas ces actifs, comment peut-elle faire valoir ses droits devant le tribunal? DeFi United a entre-temps levé 327 millions de dollars, soit environ quatre fois le montant contesté. Sur le plan financier, les 71 M$ ne sont pas indispensables à la récupération. Sur le plan juridique, le précédent qu'ils établiraient est d'une tout autre portée.
Selon les données publiées au moment de l'attaque, 40% des protocoles sur LayerZero restent configurés avec un vérificateur unique. SEAL-911, la task force de sécurité DeFi, a indiqué qu'une seconde tentative bloquée par Kelp à 18h26 UTC le 18 avril aurait drainé 200 millions supplémentaires. Le système a tenu 46 minutes avant l'activation de la pause. Un mois après, la question que le secteur n'a pas encore pleinement résolue est celle que LayerZero n'a pas encore complètement tranchée: combien d'autres contrats en production accepteraient aujourd'hui un message forgé comme celui du 18 avril, simplement parce que personne n'a encore mis à jour la configuration DVN? L'AMF et les régulateurs européens dans le cadre de MiCA suivent ce dossier de près: un précédent américain sur la qualification des fonds volés aura des répercussions directes sur les obligations des PSAN en Europe.
