rsETH : 18% de l’offre envolée
Samedi, à 17h35 UTC, Kelp DAO a été frappé par l’un des plus gros exploits de l’histoire récente des cryptomonnaies. Un attaquant a réussi à siphonner 116 500 rsETH, le token de restaking d’ether de la plateforme, soit près de 292 millions de dollars. Ce chiffre représente environ 18% de toute l’offre en circulation de rsETH, selon les données de CoinGecko, qui totalisait alors 630 000 tokens. L’ampleur du vol place immédiatement ce hack dans le trio de tête des incidents DeFi les plus coûteux depuis le début de l’année.
L’attaque n’a pas seulement vidé les coffres du bridge principal : elle a aussi laissé la version wrapped du rsETH orpheline sur plus de 20 blockchains. Concrètement, ces jetons wrapped sont désormais sans collatéral effectif, ce qui fragilise tout un pan d’écosystèmes interconnectés reposant sur la liquidité et la confiance dans le token rsETH.
Le gel d’urgence des contrats principaux a été déclenché à 18h21 UTC, soit 46 minutes après le début du siphonnage.
LayerZero, maillon faible du bridge
Le point d’entrée du hack se situe au niveau du bridge cross-chain utilisé par Kelp DAO, basé sur LayerZero, une infrastructure censée permettre des transferts sûrs entre blockchains. L’attaquant a exploité une faille dans l’adaptateur rsETH du bridge pour tromper LayerZero et déclencher un transfert massif vers une adresse sous son contrôle.
La réaction a été rapide mais insuffisante : les contrats principaux de Kelp DAO ont été gelés grâce au multisig d’urgence à 18h21 UTC, soit 46 minutes après le début du siphonnage. Deux autres tentatives pour drainer chacune 40 000 rsETH supplémentaires ont échoué quelques minutes plus tard, à 18h26 et 18h28 UTC. Malgré ce gel, le mal était fait : près de 300 millions de dollars avaient déjà disparu.
L’attaquant avait financé ses opérations via Tornado Cash pour brouiller sa trace dès le départ.
Voir Aussi
Réaction en chaîne chez les protocoles DeFi
La vague de choc s’est propagée bien au-delà de Kelp DAO. Au moins neuf protocoles ont gelé toute activité liée au token rsETH dans la foulée du hack. Parmi eux figurent Aave, SparkLend et Fluid, qui ont immédiatement suspendu leurs marchés rsETH sur les versions V3 et V4 afin d’éviter un effet domino sur leur liquidité propre. D’après dlnews.com, Aave a précisé que ses propres contrats n’avaient pas été compromis lors de cet incident.
Le prix du token AAVE a réagi brutalement à cette crise : il a chuté d’environ 10% en seulement vingt-quatre heures selon CoinGecko. Les tokens stETH et wstETH ont également reculé d’environ 4%, témoignant d’une inquiétude généralisée autour des produits liés à Ethereum et au restaking.
Cette cascade défensive illustre la fragilité des interconnexions entre protocoles DeFi lorsqu’un actif central se retrouve compromis.
L’alerte donnée trop tard ?
Kelp DAO a annoncé avoir détecté une activité cross-chain suspecte impliquant rsETH peu après l’incident et a mis en pause ses contrats sur Ethereum mainnet ainsi que sur plusieurs couches secondaires (Layer-2). Cependant, le délai entre le début du drain et le gel effectif des contrats laisse planer un doute sur la réactivité opérationnelle face à ce type d’attaque sophistiquée. Les équipes ont néanmoins réussi à bloquer deux tentatives supplémentaires qui auraient pu aggraver encore le bilan financier déjà catastrophique.
Kelp DAO : la confiance ébranlée
Au-delà des pertes immédiates – près de 293 millions convertis en ether par l’attaquant selon Cyvers –, c’est toute la crédibilité du modèle liquid restaking qui vacille. Le recours systématique à Tornado Cash pour financer puis blanchir les fonds volés complique considérablement toute tentative de récupération ou même d’identification des auteurs. Le fait que l’exploit ait touché non seulement Kelp DAO mais aussi neuf autres protocoles renforce la perception d’un risque systémique sur les bridges cross-chain et les tokens wrapped dépendants d’une unique réserve centrale.
Ce hack intervient où les pertes liées aux exploits DeFi atteignent déjà 482 millions de dollars pour le seul premier trimestre 2026. Quelques semaines auparavant, Drift Protocol avait lui aussi subi une attaque majeure avec environ 280 millions envolés. La série noire continue donc pour les plateformes DeFi axées sur la liquidité et l’interopérabilité blockchain.
Pour l’heure, il reste incertain si Kelp DAO ou ses partenaires parviendront à restaurer totalement la confiance autour du rsETH ou s’il faudra revoir en profondeur la sécurité des bridges cross-chain reposant sur LayerZero ou des systèmes similaires.
Ce que disent les prochains indicateurs
Le marché surveille la prochaine communication officielle de Kelp DAO concernant la réouverture ou non des contrats rsETH, gelés depuis samedi 18:21 UTC ; si le gel persiste, l’activité sur les neuf protocoles impactés restera suspendue et la liquidité rsETH restera fragmentée.
