Un piratage, neuf protocoles, 292 millions de dollars perdus : l'exploit Kelp révèle le problème de contagion de la DeFi
el****@gmail.com2026-04-23
Un message falsifié de LayerZero a drainé 293 millions de dollars de Kelp DAO, déclenchant une contagion à travers neuf protocoles DeFi, faisant chuter la TVL d'Aave de 6,6 milliards de dollars et exposant l'infrastructure cross-chain comme le maillon faible de la crypto.
Le samedi après-midi, un attaquant a envoyé une fausse commande au pont (bridge) de Kelp DAO, alimenté par LayerZero. Le pont l'a acceptée comme authentique. En quelques minutes, 116 500 rsETH (environ 18 % de l'offre totale en circulation du jeton) ont été versés dans le portefeuille de l'attaquant. Lorsque Kelp a mis ses contrats intelligents en suspens, les jetons volés étaient déjà sur Aave, Compound et Euler en tant que garantie pour emprunter des centaines de millions de dollars supplémentaires en wrapped ether. Le résultat : Kelp a perdu environ 293 millions de dollars ; Aave a vu 6,6 milliards de dollars de valeur verrouillée disparaître ; et au moins neuf protocoles différents tentaient de geler leurs marchés d'échange qu'ils n'avaient pas construits.
Ce n'était pas seulement un problème de Kelp ; cela concerne la dépendance de nombreux protocoles vis-à-vis de ponts (bridges) compromis – c'est la question qui mérite réflexion !
Comment un simple piratage de pont (bridge) a déclenché une crise multi-protocoles
Kelp agit comme un protocole de restaking liquide. Les stakers d'ether (stETH) sur Kelp reçoivent un jeton appelé rsETH qui génère des récompenses, lesquelles peuvent ensuite être utilisées dans de nombreux protocoles DeFi. Cependant, il y avait plus de 20 réseaux actifs sur lesquels les jetons rsETH circulaient comme garantie ou comme reçus de pari pour le staking via Kelp, et tous étaient liés aux mêmes réserves détenues par Kelp sur le pont. Ainsi, lorsque le pont a été vidé et que les jetons rsETH circulant comme garantie sont devenus suspects (quelle que soit leur origine), les protocoles qui acceptaient ces jetons comme garantie n'avaient aucun moyen de vérifier l'authenticité de la garantie sous-jacente à leurs prêts — Aave, SparkLend, Fluid, Euler, Compound et d'autres.
Cyvers Blockchain Security a qualifié ce problème d'« événement de contagion inter-protocolaire » à la suite de l'exploit du protocole. Bien qu'Aave, Compound et Euler n'aient connu aucune faute fiduciaire avec leurs contrats, Aave avait intégré le rsETH dans son pool de prêt et ne l'avait pas séparé du reste de ses prêts, augmentant ainsi le risque posé à son pool de prêt par le rsETH. Par la suite, la valeur du jeton d'Aave a chuté de 16 %. La valeur totale verrouillée (TVL) dans Aave est passée de 26,4 milliards de dollars à environ 20 milliards de dollars en quelques heures. Aave détient désormais environ 196 millions de dollars de créances douteuses concentrées sur les paires rsETH et wrapped ether, et Aave pourrait avoir des réserves insuffisantes dans son fonds de sécurité Umbrella.
Le compromis en matière d'efficacité du capital que personne n'a voulu faire
Michael Egorov, fondateur de Curve Finance, a clairement indiqué que les problèmes de ces structures sont amplifiés par les modèles de prêt non isolés, où un pool partagé entre tous les actifs ajoute un risque supplémentaire pour tous les autres actifs en raison d'un seul pool de risque. Si le rsETH avait été isolé dans son propre pool de prêt, alors, lorsqu'un exploit comme celui-ci se produit, la contagion serait limitée à Kelp, plutôt que d'affecter d'autres protocoles, d'autres utilisateurs ou d'autres jetons.
La raison pour laquelle de nombreux protocoles n'isolent pas entièrement leurs pools est que cela réduit l'efficacité du capital. Lorsque la liquidité de nombreux protocoles différents est ajoutée à un seul pool, cela permet à la liquidité de circuler plus librement sans restrictions, ce qui rend l'emprunt moins cher et offre un rendement plus élevé sur les bénéfices générés par les prêts. En isolant les pools de prêt, le risque contenu dans chaque pool est réduit, mais cela nécessite le sacrifice d'un certain type d'efficacité du capital qui permet de générer cette liquidité.
De plus, Egorov a souligné un problème supplémentaire avec la configuration du pont de Kelp, qui était configuré en utilisant une instance unique de vérificateur, ce qui signifie qu'il n'y avait qu'un seul point de vérification utilisé pour valider les messages cross-chain envoyés vers et depuis ces deux protocoles. Cette erreur de configuration aurait dû être remarquée lors de la mise en ligne initiale du pont, mais ce ne fut pas le cas. Par conséquent, un message falsifié a pu vider l'intégralité du pont.
L'infrastructure inter-chaînes (Cross-Chain) est le maillon faible
La cause de l'attaque ne provenait pas d'un bug dans un contrat intelligent, comme nous le voyons typiquement lors d'attaques. Le hacker a utilisé un pont (bridge) pour pirater Kelp. Egorov déclare spécifiquement : « Le cross-chain est difficile et dangereux. N'utilisez la technologie cross-chain que lorsque c'est nécessaire et faites-le avec la plus grande prudence. » Beaucoup de gens l'ont déjà entendu et se sont détournés parce que le cross-chain est la façon dont l'industrie peut créer un système de finance décentralisée à travers plusieurs blockchains. S'il existe dix réseaux différents avec votre protocole, alors vous avez besoin d'un moyen de connecter tous ces réseaux, et ce sont presque exclusivement les endroits où les plus grands piratages se sont produits, car ils représentent les frontières séparant chacun des systèmes distincts, d'où le fait que les attaquants chercheraient généralement à pirater les frontières en premier.
L'exploit de Kelp est rapidement devenu le plus grand piratage DeFi de 2026 et 2026 ne fait que commencer au moment de la rédaction de cet article (quatre mois dans l'année). Le montant total de crypto perdu à cause des piratages, exploits et arnaques au premier trimestre 2026 seulement était d'environ 482 millions de dollars. Le responsable de la sécurité de Ledger a déclaré que 2026 sera « très probablement la pire année pour les piratages à ce jour, ce qui est une indication d'une tendance future à partir de leurs tendances actuelles. »
Qu'advient-il de la confiance ?
« La DeFi est morte » a été l'un des commentaires les plus fréquents des utilisateurs de la DeFi sur les réseaux sociaux suite à l'incident récent — ce qui n'est pas surprenant étant donné l'ampleur de l'exploit ; cependant, cela pourrait ne pas être une évaluation totalement précise de ce qui se passe dans l'écosystème DeFi à ce stade. Cependant, il y a quelque chose de différent dans la nature de l'ampleur de cet événement, car il a simultanément affecté l'infrastructure cross-chain, les modèles de restaking et les marchés de prêt, et ne peut donc pas être classé comme la faiblesse d'un seul protocole ou une attaque ciblée ; au lieu de cela, il sert de test de résistance pour démontrer à quel point l'ensemble de l'écosystème DeFi est étroitement lié en ce qui concerne le fonctionnement de ses protocoles sous-jacents.
Comme l'a dit Guillemet, le responsable de la sécurité de Ledger : « Globalement, ce type d'événement érode la confiance au sein de la communauté DeFi concernant l'intégrité opérationnelle des protocoles DeFi. »
D'un autre côté, Egorov offre un point de vue alternatif — que bien que l'environnement soit difficile, la crypto a toujours appris de ses échecs passés en DeFi et est devenue plus forte — bien qu'en principe, il ait raison. Cependant, apprendre de ce type d'incidents coûte généralement des pertes financières inattendues à l'utilisateur final. Neuf protocoles, 293 millions de dollars de valeur monétaire perdue, et un seul message de pont falsifié PYMNTS.com, il n'y a pas d'argument ici, nous avons appris cette leçon, mais combien de fois encore devrons-nous l'apprendre ?
