Le setup à risque de Kelp DAO
L’attaque qui a frappé Kelp DAO ce week-end a mis en lumière un problème structurel : la dépendance à une configuration dite “1-of-1”, où un seul vérificateur approuve les transactions cross-chain. Ce choix, motivé par la simplicité ou la rapidité, s’est révélé fatal pour le protocole. L’exploit a permis à l’attaquant de générer 116 500 rsETH – le jeton de liquid restaking de Kelp – sans fournir le moindre collatéral, ouvrant la porte à des retraits massifs sur d’autres plateformes.
LayerZero, l’infrastructure bridge utilisée par Kelp DAO, a rapidement attribué la responsabilité à cette architecture risquée, précisant qu’aucune application utilisant plusieurs vérificateurs n’avait été affectée.
Le rôle clé des nœuds compromis
L’attaque s’est appuyée sur la compromission de deux nœuds RPC (Remote Procedure Call), essentiels pour valider les transactions entre blockchains. Les assaillants ont remplacé les logiciels sur ces nœuds par des versions malveillantes, leur permettant de valider une transaction frauduleuse et de contourner les contrôles habituels. Une attaque DDoS, menée entre 10h20 et 11h40 heure du Pacifique samedi, a forcé le protocole à basculer vers ces nœuds compromis au moment critique.
Le samedi 20 avril, les attaquants ont profité d'une fenêtre de 80 minutes pour détourner les flux de validation via deux nœuds RPC compromis.
Selon LayerZero, l’opération porte la marque du groupe nord-coréen Lazarus et de sa sous-unité TraderTraitor. Cette attribution reste préliminaire mais souligne le niveau de sophistication croissant des attaques contre les protocoles DeFi.
En moins de deux heures, près de 292 millions de dollars ont disparu des coffres numériques.
Aave, première victime collatérale majeure
Les conséquences du hack ne se sont pas limitées à Kelp DAO. Les tokens rsETH créés artificiellement ont été utilisés comme collatéral sur Aave, l’une des principales plateformes de lending décentralisé. L’attaquant a pu emprunter et retirer des actifs réels en masse, déclenchant une vague de retraits paniqués chez les utilisateurs d’Aave et d’autres protocoles comme Morpho ou Sky. Entre le 18 avril et le dimanche matin suivant, la valeur totale déposée sur Aave est passée de 26,4 milliards à près de 20 milliards de dollars selon DefiLlama – soit plus de 6 milliards envolés en quelques jours.
La réaction du marché ne s’est pas fait attendre : le token AAVE a chuté de plus de 18% durant le week-end suivant l’exploit, tandis que d’autres tokens majeurs comme UNI ou LINK affichaient également des pertes (respectivement -1% et -0,9%). Les équipes d’Aave ont rapidement gelé les marchés affectés afin d’enrayer l’hémorragie et rassurer leurs utilisateurs. Stani Kulechov, fondateur d’Aave, a tenu à préciser que l’exploit était externe au protocole et que ses contrats n’avaient pas été compromis.
Cependant, cette distinction technique importe peu face à la panique généralisée qui s’est propagée dans tout l’écosystème DeFi.
Des milliards envolés en 48 heures
L’effet domino s’est rapidement fait sentir sur l’ensemble du secteur : en seulement deux jours après l’exploit initial, la valeur totale verrouillée (TVL) dans la DeFi est passée de 99,497 milliards à 86,286 milliards de dollars. Cela représente une baisse brutale de plus de 13 milliards en 48 heures. Aave n’a pas été le seul touché ; Euler et Sentora ont également enregistré des chutes à deux chiffres dans leur TVL respective.
Ce contexte explosif a poussé plusieurs protocoles à geler temporairement leurs marchés pour limiter la contagion. Pourtant, même ces mesures défensives n’ont pas suffi à enrayer la perte massive de confiance parmi les investisseurs particuliers comme institutionnels. La liquidation rapide des positions a accentué la pression vendeuse sur les principaux tokens DeFi.
LayerZero serre la vis sur la sécurité
Face à cette crise systémique déclenchée par une faille d’architecture évitable, LayerZero a annoncé qu’il ne signerait plus aucun message pour les applications utilisant une configuration “1-of-1”. Désormais, tous les projets devront migrer vers un système multi-vérificateur jugé bien plus résilient face aux attaques ciblées sur un unique point faible.
Chez coindesk.com on rapporte que LayerZero insiste : aucune autre application ni token standard OFT utilisant plusieurs validateurs n’a été affecté lors du hack. Cette décision change le cadre pour toute l’infrastructure cross-chain qui devra désormais renforcer ses standards techniques sous peine d’être exclue du support officiel LayerZero.
Pourquoi le bank run s’est propagé
La propagation rapide du bank run post-exploit tient autant au manque de diversité dans les systèmes de vérification qu’à l’interconnexion croissante entre protocoles DeFi. Dès lors qu’un acteur majeur comme Aave est touché indirectement via un jeton compromis (rsETH), c’est toute la chaîne qui vacille : gel des marchés, retraits massifs et effondrement brutal des TVL s’enchaînent mécaniquement.
Ce qu'on en retient
- •L’exploit du bridge Kelp DAO le 20 avril a permis de détourner 292 millions de dollars via 116 500 rsETH créés sans collatéral.
- •La TVL de la DeFi a chuté de 99,5 à 86,3 milliards de dollars en 48 heures, Aave perdant 8,45 milliards.
- •L’attaque, attribuée au groupe Lazarus, a exploité une configuration à un seul vérificateur et deux nœuds RPC compromis.
À court terme
Après l’exploit de 292 millions de dollars sur Kelp DAO, la valeur totale verrouillée dans la DeFi a chuté de 13,21 milliards de dollars en 48 heures, avec Aave enregistrant une perte de 8,45 milliards de dollars sur la même période ; si les migrations vers des configurations multi-vérificateurs imposées par LayerZero ne sont pas rapidement adoptées, le gel des marchés affectés pourrait se prolonger, mais le calendrier précis de ces migrations reste incertain.
