71 M$ gelés, 175 M$ déjà partis : Comment le pirate du Kelp DAO blanchit 292 millions de dollars en Ether volé
el****@gmail.com2026-04-23
Kelp DAO a perdu 292 millions de dollars dans une exploitation d'un pont LayerZero. Arbitrum a gelé 71 millions de dollars, mais 175 millions de dollars sont déjà en mouvement. Le groupe Lazarus est suspecté. Aave fait face à une mauvaise dette pouvant atteindre 230 millions de dollars.
Arbitrum a agi rapidement. Lundi soir, le Conseil de sécurité d'Arbitrum a gelé plus de 30 766 ETH (environ 71 millions de dollars) qui se trouvaient dans un portefeuille sur Arbitrum One directement lié à l'exploitation de KelpDAO. Le conseil a déclaré avoir agi avec l'avis des forces de l'ordre concernant ce qu'ils croyaient être l'identité de l'exploiteur et que cette action n'a pas eu d'impact ou n'a pas affecté les autres utilisateurs ou applications d'Arbitrum. Les environnements DeFi réalisent rarement ce niveau d'intervention on-chain en temps réel, il s'agissait donc d'une action véritablement décisive pour Arbitrum.
Le hacker a agi encore plus vite. Avant même que l'encre de l'annonce d'Arbitrum ne soit sèche, la société de renseignement blockchain Arkham a suivi le suspect déplaçant 75 701 ETH (environ 175 millions de dollars) des adresses Ethereum vers des portefeuilles nouvellement créés. Deux transferts ont été effectués, l'un de 117 millions de dollars et l'autre de 58 millions de dollars, pendant les heures de trading européennes mardi. L'enquêteur on-chain ZachXBT m'a confirmé que les fonds obtenus illégalement ont commencé à être déplacés entre les chaînes. La phase de blanchiment d'argent a commencé.
Alors qu'Arbitrum a gelé environ 25% du montant total volé ; les 75% restants sont toujours en mouvement actif.
Comment l'attaque s'est déroulée
Au cas où quelqu'un l'aurait manqué, le samedi 18 avril, un attaquant a utilisé un exploit du pont inter-chaînes basé sur LayerZero de Kelp DAO pour exploiter un défaut qui lui a permis de retirer 116 500 rsETH (d'une valeur d'environ 291 millions de dollars à ce moment-là) – soit environ 18% du montant total de rsETH en circulation à ce moment-là. En fournissant des instructions falsifiées au pont, l'attaquant l'a amené à libérer le rsETH vers une adresse qu'il contrôlait. L'attaquant a ensuite déposé les jetons volés dans Aave, Compound et Euler pour les utiliser comme garantie afin d'emprunter des centaines de millions d'ethers enveloppés supplémentaires.
Le pont de Kelp disposait de réserves soutenant le rsETH sur plus de 20 réseaux, de sorte que cet incident a eu des répercussions immédiates. À ce jour, au moins neuf protocoles ont été contraints de geler leurs marchés ou de prendre d'autres mesures d'urgence. Aave a vu à lui seul 6,6 milliards de dollars de TVL quitter sa plateforme en quelques heures et la valeur de son jeton a chuté de 16%. Maintenant qu'Aave a publié son rapport d'incident, il estime que son exposition aux créances douteuses se situe entre 123 millions et 230 millions de dollars, selon la manière dont Kelp DAO attribue son déficit parmi ses positions Layer 2.
Ainsi, ce hack DeFi a maintenant dépassé le hack Drift d'il y a deux semaines, en faisant le plus grand hack DeFi de 2026 à ce jour.
Le jeu des reproches entre Kelp et LayerZero
Kelp DAO et LayerZero sont impliqués dans un litige public sur la responsabilité de l'erreur de configuration qui a conduit à l'attaque, tandis que les enquêteurs continuent d'étudier comment l'argent a été perdu. L'une des causes était un propriétaire unique agissant comme seul vérificateur de la validité de chaque message envoyé entre différentes chaînes. Si ce propriétaire unique est compromis, alors l'intégralité du pont est compromise.
LayerZero insiste sur le fait qu'ils ont fourni à Kelp DAO l'infrastructure nécessaire pour construire. Kelp DAO insiste sur le fait que son utilisation d'un propriétaire unique était basée sur la configuration standard de LayerZero pour le SV, ce qui signifie que ce n'était pas un choix fait par Kelp DAO. Le résultat de la question de la responsabilité est important pour tout recours légal futur, mais n'affectera pas les pertes financières subies par ceux qui ont perdu de l'argent.
Ce que les deux parties admettent maintenant, en fait, c'est qu'il y avait une configuration catastrophiquement incapable de résister à une intrusion et qui fonctionnait en production sur un pont avec des centaines de millions de dollars de valeur inter-chaînes (c'est ce qui lie les deux parties). Quelqu'un aurait dû détecter ce problème, mais personne ne l'a fait.
L'ombre de la Corée du Nord
Les chercheurs en sécurité et de nombreuses publications ont identifié que le modèle d'exploitation de Kelp, son ampleur et la vitesse de blanchiment des fonds représentent étroitement le modus operandi lié au Groupe Lazarus de Corée du Nord. Ensemble, les exploits Drift et Kelp ont généré plus de 500 millions de dollars d'actifs siphonnés en un peu plus de 2 semaines. Les analystes estiment que cette ponction financière est le reflet d'un pays sous sanctions ayant besoin de fonds, plutôt que de hackers opportunistes qui ont opéré à ce rythme.
Le Groupe Lazarus a été associé à certains des plus grands vols de cryptomonnaies de l'histoire, y compris le hack du réseau Ronin de 625 millions de dollars qui a eu lieu en 2022. Le groupe est connu pour utiliser des configurations de vérificateurs compromises pour exploiter l'infrastructure inter-chaînes, ainsi que pour déplacer rapidement et plus efficacement les fonds volés à travers divers outils de confidentialité et sauts de chaîne afin d'entraver la capacité des enquêteurs à suivre leurs actifs volés. L'exploit de Kelp correspond à ces modus operandi. Bien que l'attribution au Groupe Lazarus n'ait pas été confirmée, il est évident que les forces de l'ordre ont transmis suffisamment d'informations au Conseil de sécurité d'Arbitrum concernant l'identité de l'exploiteur de Kelp pour autoriser le gel mentionné ci-dessus — ce qui implique que les enquêteurs ont progressé plus loin que ne le reflètent les déclarations publiques.
Ce qui vient ensuite
Personne ne pourra accéder aux 70 millions de dollars de fonds Arbitrum gelés sans l'approbation de la Gouvernance d'Aave. Cela représente un montant significatif d'argent qui a été récupéré et il est particulièrement impressionnant de voir à quelle vitesse les choses se sont déroulées dans l'ensemble. Cependant, 175 millions de dollars ont été déplacés vers de nouveaux portefeuilles, rendant la récupération beaucoup plus difficile que si cela ne se produisait que sur une seule blockchain. Le FBI et l'IRS-CI travaillent probablement ensemble sur l'enquête étant donné l'ampleur de la valeur totale des fonds volés, mais transformer cette enquête en actifs réels prendra des mois ou des années et pas seulement des jours.
Concernant les recouvrements de créances douteuses/prêts pour Aave, leur question initiale sera de savoir comment gérer cette perte. Il est possible qu'une partie de celle-ci puisse être couverte en utilisant la Réserve de Sécurité Parapluie, mais sinon, toute perte additionnelle devra provenir des détenteurs de stkAAVE, via le mécanisme de protection du protocole. Cela exercerait une pression significative sur la Gouvernance d'Aave pour la première fois, afin de prendre des mesures pour protéger les détenteurs de stkAAVE contre les pertes d'une manière sans précédent.
À l'heure actuelle, il ne s'est écoulé qu'environ 72 heures depuis l'exploit de Kelp. L'enquête est en cours ; le blanchiment des fonds volés est en train de se produire ; et le montant total des pertes dues à l'exploit n'a pas encore été déterminé. Il est clair que l'auteur de l'exploit de Kelp avait préparé un plan élaboré avant d'exécuter le hack pour tirer parti de ces circonstances.
