292 millions de dollars, un seul nœud de vérification et une décision qu'aucun autre protocole ne voulait prendre en premier. Le 18 avril 2026, un attaquant a vidé le bridge de Kelp DAO en falsifiant un unique message cross-chain sur LayerZero, emportant 116 500 rsETH, soit environ 18% de l'offre totale du token selon les données post-mortem de Chainalysis. Des semaines plus tard est arrivé le vrai tournant: Kelp a migré rsETH de LayerZero vers Chainlink. Ce n'est pas une note technique pour initiés. Cela concerne la manière dont une grande partie de la DeFi maintient ses chaînes connectées. Le détail de l'attaque est disponible dans notre rapport original sur l'exploit; cet article se concentre sur ce qui a craqué et ce qui a changé.
Comment vider un bridge sans toucher au code?
Concrètement, le contrat ne contenait aucun bug. La tromperie se situait ailleurs. Kelp avait configuré son Decentralized Verifier Network en mode «1-of-1»: un seul vérificateur décidait si un message entrant depuis une autre chaîne était authentique. Il suffisait de compromettre ce nœud unique. Les attaquants, rattachés au groupe nord-coréen Lazarus selon les analyses de Chainalysis et LayerZero, ont obtenu l'accès à la liste RPC du vérificateur, compromis deux nœuds et remplacé les binaires en cours d'exécution, pendant qu'une attaque DDoS réduisait au silence les validateurs externes. Résultat: l'adaptateur Ethereum de Kelp a libéré de vrais rsETH en échange d'un «burn» qui n'avait jamais eu lieu, et chaque transaction semblait parfaitement valide sur la blockchain.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
, Kelp (@KelpDAO) April 18, 2026
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
Deux messages supplémentaires falsifiés, représentant plus de 100 millions de dollars, étaient déjà passés avant que le multisig d'urgence parvienne à activer la pause, 46 minutes après le début de l'attaque. Nous avions consacré une enquête dédiée au poids croissant de Pyongyang dans les attaques crypto de 2026.
Pourquoi cela concernait tout le monde, pas seulement Kelp
C'est là que le malaise s'installe. Kelp a soutenu que la configuration à vérificateur unique n'était pas un raccourci imprudent, mais le paramètre par défaut documenté dans les propres directives de LayerZero. LayerZero a répondu que ce choix relève de la couche applicative, hors du périmètre de son programme de bug bounty. Les chiffres, eux, sont plus troublants: au moment de l'attaque, selon les données de configuration on-chain de LayerZero en mai 2026, près de la moitié des applications LayerZero actives fonctionnaient sur ce même schéma. Un point de défaillance unique, répliqué partout, normalisé. Après l'exploit, LayerZero a interdit les configurations 1-of-1 et imposé la migration vers des architectures multi-vérificateurs, confirmant que le risque n'était pas un accident isolé. C'était de l'architecture, comme nous l'avions analysé dans notre article sur la raison pour laquelle la DeFi reste structurellement fragile.
Près de la moitié des apps LayerZero utilisaient le vérificateur unique
Source: configurations on-chain LayerZero, mai 2026
- Config à vérificateur unique (1-of-1): 47%
- Autres configurations: 53%
Où sont passés les fonds et quelle a été la réponse de Kelp?
Le secteur a réagi plus vite que n'importe quel régulateur. Cinq jours après l'attaque, DeFi United a vu le jour: un fonds de récupération coordonné où le fondateur d'Aave, Stani Kulechov, a apporté 5 000 ETH de sa propre poche, Lido et EtherFi complétant leur part. Le fonds a levé 327,95 millions de dollars au total, selon la comptabilité publique de DeFi United, soit environ quatre fois le montant nécessaire pour combler le déficit, permettant de récupérer plus de 95% des rsETH affectés. Sur le plan technique, Kelp a tranché dans le vif: rsETH a quitté le standard OFT de LayerZero pour adopter le Cross-Chain Interoperability Protocol (CCIP) de Chainlink, qui valide les messages avec plusieurs nœuds au lieu d'un seul. La reconstruction technique complète de l'attaque est disponible dans le rapport de Chainalysis.
Chainalysis Team
Et l'Europe dans tout ça?
Elle est directement concernée. Le 2 mai, la Banque centrale européenne a explicitement cité l'exploit Kelp comme argument en faveur d'une surveillance prudentielle des actifs DeFi, dans le cadre de la révision MiCA 2026. La présidente Christine Lagarde a évoqué la stabilité systémique, cette fois avec des chiffres précis à l'appui: un déficit de 292 millions de dollars, une vague de retraits dépassant 5 milliards de dollars sur Aave dans les heures suivantes et des centaines de millions de créances bloquées, résultat des rsETH volés déposés comme collatéral juste avant l'effondrement du prix.
Pour ceux à Francfort qui cherchaient un levier pour encadrer davantage la DeFi, Kelp le leur a fourni. Le lien entre capital, composabilité et risque systémique est le même que nous avions analysé dans notre thèse DeFi 2026. La leçon opérationnelle est nette: quand le token d'un protocole devient immédiatement du collatéral sur un autre, le maillon le plus faible ne reste jamais isolé longtemps. Les investisseurs et développeurs opérant sur des infrastructures cross-chain ont tout intérêt à considérer le passage post-Kelp aux architectures multi-vérificateurs non comme un avantage concurrentiel. Comme un minimum non négociable.
