Le 18 avril 2026 restera dans les annales de la DeFi comme l'une des journées les plus noires. Un attaquant inconnu a exploité une vulnérabilité dans le bridge cross-chain de Kelp DAO reposant sur LayerZero, dérobant environ 116 500 rsETH — soit près de 292 millions de dollars au moment de l'attaque. Il s'agit officiellement du plus grand exploit DeFi de 2026, dépassant l'incident Drift Protocol de peu.
L'alerte a circulé rapidement après la publication de l'investigateur on-chain ZachXBT sur Telegram, qui a identifié six portefeuilles liés à l'attaquant — tous pré-financés via Tornado Cash plusieurs heures avant le drainage. Une opération délibérée, minutieusement préparée.
Comment l'Attaque s'Est Déroulée
Tout part d'un détail technique aux conséquences colossales. L'attaquant a manipulé la couche de messagerie cross-chain de LayerZero — le système qui valide les instructions entre blockchains — en faisant croire au bridge de Kelp DAO qu'il recevait une instruction légitime depuis un autre réseau.
À 17h35 UTC le 18 avril, le portefeuille de l'attaquant a appelé la fonction lzReceive sur le contrat EndpointV2 de LayerZero. Cet appel unique a convaincu le système de Kelp de libérer 116 500 rsETH directement vers une adresse contrôlée par l'attaquant. La somme volée représente environ 18 % de l'offre circulante de rsETH (630 000 tokens au total, selon CoinGecko).
L'équipe de sécurité de Kelp a réagi 46 minutes plus tard, exécutant un pauseAll d'urgence via le multisig du protocole. Deux tentatives ultérieures de l'attaquant — à 18h26 et 18h28 UTC — ont été bloquées par le contrat en pause, évitant un drainage supplémentaire d'environ 100 millions de dollars.
Sans cette réaction rapide, les pertes totales auraient pu avoisiner 391 millions de dollars.
La Contagion : Aave et la Composabilité DeFi
Le vol n'était que la première moitié du problème. La seconde s'est jouée sur Aave V3, où l'attaquant a déposé les rsETH dérobés — désormais sans aucun sous-jacent — comme collatéral, empruntant de grandes quantités de WETH. Résultat : environ 177 à 236 millions de dollars de créances douteuses laissées sur le plus grand protocole de lending du secteur.
Ce cas illustre de manière brutale le risque inhérent à la composabilité DeFi : les tokens émis par un protocole sont instantanément acceptés comme collatéral sur d'autres. Lorsqu'un token perd son ancrage réel, la contagion est immédiate — sans vote de gouvernance, sans comité, sans délai d'attente. L'AMF et les régulateurs européens qui suivent de près le cadre MiCA pourraient s'emparer de cet incident pour renforcer les exigences de réserves sur les liquid restaking tokens.
Protocoles touchés par la réaction en chaîne :
- Aave V3 et V4 — marchés rsETH gelés ; Stani Kulechov (@StaniKulechov) a confirmé que les contrats Aave n'ont pas été compromis et que le problème concerne exclusivement rsETH
- SparkLend — marchés rsETH suspendus, zéro exposition directe
- Fluid — mêmes mesures que Spark
- Lido Finance — dépôts sur earnETH suspendus en raison de l'exposition à rsETH ; stETH et wstETH non affectés
- Ethena — pause préventive sur les bridges LayerZero depuis Ethereum mainnet, malgré aucune exposition à rsETH et une collatéralisation supérieure à 101 %
- Upshift — dépôts et retraits suspendus sur les vaults High Growth ETH et Kelp Gain
Impact sur les Prix : AAVE, ETH et rsETH en Chute Libre
La réaction du marché a été immédiate et brutale :
- AAVE a perdu environ 10 % en quelques heures
- ETH a reculé d'environ 3 %
- stETH et wstETH ont enregistré des baisses proches de 4 %
- rsETH a perdu son ancrage, tombant vers 2 500 $, avec une forte incertitude sur la stabilité du protocole
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
— Kelp (@KelpDAO) April 18, 2026
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
Qu'est-ce que Kelp DAO et Pourquoi Cela Importe
Kelp DAO est un protocole de liquid restaking sur Ethereum. Les utilisateurs déposent de l'ETH ou des liquid staking tokens (comme stETH ou cbETH) et reçoivent en échange du rsETH — un token qui accumule des récompenses issues de plusieurs couches de staking via EigenLayer. Avec un TVL d'environ 1,07 milliard de dollars, Kelp est le deuxième acteur de l'écosystème EigenLayer.
Le rsETH est distribué sur plus de 20 blockchains : Arbitrum, Base, Linea, Blast, Mantle, Scroll et d'autres, via le standard OFT de LayerZero. Le bridge vidé constituait la réserve centrale garantissant les tokens wrappés sur tous ces L2. Cette réserve étant désormais à zéro, les détenteurs de rsETH sur les chaînes secondaires se retrouvent dans une position d'incertitude totale : leur token pourrait ne plus avoir aucun sous-jacent.
Pour comprendre le fonctionnement de la messagerie cross-chain LayerZero, consultez : Cardano intègre LayerZero et cible la DeFi
Un Avril Noir pour la DeFi : Chronologie des Attaques 2026
Cet exploit n'est pas isolé. Le 1er avril 2026, le protocole Drift sur Solana avait subi une attaque de 285 millions de dollars, ultérieurement attribuée à des acteurs nord-coréens. Dans les semaines suivantes, au moins une douzaine de protocoles mineurs ont été touchés : CoW Swap, Zerion, Rhea Finance, Silo Finance.
La chronologie des attaques pour la seule année 2026 ressemble désormais à un bilan de guerre :
- 1er avril — Drift Protocol (Solana) : ~285 M$
- Mi-avril — CoW Swap, Zerion, Rhea Finance, Silo Finance
- 18 avril — Kelp DAO : 292 M$ ← record 2026
Le total des exploits DeFi en seulement trois semaines dépasse désormais le milliard de dollars.
Retrouvez tous les cas de piratage crypto sur la section dédiée aux hacks de SpazioCrypto.
Que Se Passe-t-il Maintenant : Questions Ouvertes
Kelp DAO a déclaré collaborer avec LayerZero, Unichain, ses auditeurs et les principaux experts en sécurité pour mener une analyse des causes racines (RCA). Le co-fondateur Amitej Gajjala n'a pas encore publié de déclarations détaillées au-delà du communiqué officiel.
Les questions en suspens sont nombreuses :
- Un recouvrement partiel des fonds est-il envisageable ?
- Aave parviendra-t-il à absorber les créances douteuses sans pénaliser les déposants ?
- Le rsETH sur les L2 retrouvera-t-il son ancrage, ou les détenteurs devront-ils assumer des pertes permanentes ?
Sur le plan structurel, cet incident relance le débat sur la sécurité des liquid restaking tokens comme collatéral dans les protocoles de lending. Le fait que rsETH figurait sur la liste blanche d'Aave, Compound et Euler présupposait que le token resterait intégralement garanti. Cette hypothèse a été fracassée de manière retentissante. Dans le contexte du règlement MiCA, ce type d'incident pourrait accélérer l'adoption d'exigences de transparence sur les réserves des protocoles DeFi actifs en Europe.
Pour apprendre à vous protéger dans cet écosystème, notre Guide Web3 est le meilleur point de départ.
La DeFi est puissante précisément parce qu'elle est composable. Mais la composabilité, lorsqu'une seule pièce cède, transforme chaque protocole connecté en domino. L'affaire Kelp DAO l'a démontré de la façon la plus coûteuse qui soit.
