Le 20 avril 2026, LayerZero a publié le post-mortem officiel du hack de 292 millions de dollars contre Kelp DAO, et l'attribution est sans appel : Lazarus Group, et plus précisément le sous-groupe TraderTraitor — la même entité nord-coréenne déjà responsable de l'exploit à 1,4 milliard de dollars sur Bybit en 2025. Mais dans ce document, LayerZero transfère la responsabilité technique à Kelp. Quelques heures plus tard, KelpDAO a rétorqué avec vigueur.
LayerZero
Lazarus Frappe Deux Fois en 18 Jours
Le bilan cumulé est brutal. Drift Protocol sur Solana, 1er avril : 285 millions de dollars. Kelp DAO sur Ethereum, 18 avril : 292 millions de dollars. Total : plus de 575 millions de dollars siphonnés par la même unité nord-coréenne en moins de trois semaines, avec des vecteurs d'attaque radicalement différents à chaque fois.
- Drift : ingénierie sociale ciblant les signataires multisig du Security Council, avec un token CVT fabriqué sur mesure
- Kelp : compromission de deux nœuds RPC de LayerZero, combinée à des attaques DDoS sur les sauvegardes pour forcer le basculement
- TraderTraitor s'impose comme l'acteur le plus dangereux de la DeFi en 2026, avec 18 attaques attribuées depuis le début de l'année selon Elliptic
Pour une reconstruction complète de l'affaire Drift, consultez notre analyse de la semaine noire des cryptos.
LayerZero contre Kelp : Qui Est Vraiment Responsable ?
Le cœur du litige porte sur la configuration 1/1 DVN — un seul vérificateur autorise l'ensemble des messages cross-chain, sans aucune redondance. LayerZero affirme avoir recommandé à plusieurs reprises un dispositif multi-DVN à Kelp. KelpDAO réplique que cette configuration 1/1 était le défaut proposé par le dépôt GitHub de LayerZero, utilisé par 40 % des protocoles sur l'infrastructure.
Preliminary indicators suggest attribution to Lazarus Group, more specifically TraderTraitor.
Zach Rynes, community liaison chez Chainlink, a été l'un des premiers à réagir sur X : LayerZero esquive sa propre responsabilité pour une infrastructure DVN compromise. Cette position a été confirmée techniquement par banteg de Yearn Finance, qui a audité le déploiement public de LayerZero : la configuration de référence livre par défaut une vérification à source unique sur Ethereum, BSC, Polygon, Arbitrum et Optimism.
47 % des Applications LayerZero Restent Vulnérables
Les données de Dune Analytics, publiées le 20 avril, constituent la nouvelle dans la nouvelle. Sur 2 665 OApps actives analysées sur les 90 derniers jours, 47 % fonctionnent avec un niveau de sécurité 1-sur-1. LayerZero a annoncé la suspension de la signature des messages pour toute application en configuration 1/1, imposant une migration forcée à des centaines de projets dans les semaines à venir.
- TVL DeFi : chute de 99,5 à 86,3 milliards de dollars en 48 heures, soit 13,2 milliards effacés
- Aave : 8,45 milliards de dollars de dépôts retirés, marchés ETH/USDT/USDC à 100 % d'utilisation
- Tokens touchés : AAVE -22 %, ZRO -22 %, LDO -19 %, ENA -13 %, COMP -10 %
La Question Que Tout l'Écosystème Se Pose
Si 47 % des bridges LayerZero tournent encore avec la même configuration fragile, combien de pertes à 292 millions faudra-t-il encore avant que la DeFi cross-chain repense sérieusement ses points de défaillance unique ? La composabilité est le superpouvoir de la DeFi — mais quand un seul maillon cède, qu'il s'agisse d'un RPC, d'un DVN ou d'un multisig, chaque protocole connecté devient un domino. L'affaire Kelp n'est pas qu'un post-mortem : c'est un test de résistance que tout le secteur a échoué. En France, l'AMF suit de près l'exposition des PSAN aux infrastructures cross-chain non auditées — ce dossier devrait accélérer les discussions réglementaires autour du cadre MiCA pour les bridges DeFi.
