Kelp, une plateforme de restaking liquide, a signalé samedi une cyberattaque qui a affecté les opérations de son jeton rsETH.
L'équipe a détecté une activité inter-chaînes inhabituelle et a rapidement mis en pause les contrats intelligents sur le réseau principal et plusieurs systèmes de couche 2. La plateforme a déclaré qu'elle « enquêtait » sur le problème tout en évaluant l'étendue complète de la brèche.
Parallèlement, l'exploit s'est concentré sur le contrat de pont adaptateur rsETH. Ce composant gère les transferts de jetons entre les chaînes.
La société de sécurité blockchain Cyvers a estimé les pertes à environ 293 millions de dollars. L'attaquant a eu accès aux fonds en ciblant ce contrat, ce qui a entraîné une sortie massive en peu de temps.
Cyvers a signalé que l'attaquant avait utilisé une adresse financée via Tornado Cash. Cet outil est souvent employé pour obscurcir les traces de transactions. Une grande partie des fonds volés, environ 250 millions de dollars, a déjà été convertie en Ether.
Le mouvement des fonds a suscité des inquiétudes parmi les plateformes connectées à rsETH. Les équipes de surveillance continuent de suivre les actifs à mesure qu'ils se déplacent entre les réseaux. Aucune récupération de fonds n'a été confirmée à ce jour. Kelp n'a pas encore divulgué de détails techniques supplémentaires sur la brèche à ce stade.
De plus, l'attaque a provoqué ce que Cyvers a décrit comme une « contagion inter-protocoles ». Au moins neuf plateformes crypto étaient exposées au rsETH et ont pris des mesures pour limiter les risques. Beaucoup d'entre elles ont mis en pause ou restreint l'activité impliquant le jeton.
Aave a confirmé avoir gelé les marchés rsETH sur ses plateformes V3 et V4. Cette mesure visait à prévenir de nouvelles pertes et à contenir les risques. Le PDG de Cyvers, Deddy Lavid, a déclaré que l'événement « souligne les risques de la composabilité en DeFi », faisant référence à la rapidité avec laquelle des systèmes connectés peuvent propager le risque.
L'incident de Kelp s'ajoute à une liste croissante de brèches sur les plateformes crypto. Les données montrent que les pertes dues aux piratages et aux escroqueries ont atteint environ 482 millions de dollars au premier trimestre 2026. Ces événements continuent d'affecter la confiance des utilisateurs et les opérations des plateformes.
Un autre cas récent a concerné Drift Protocol, qui a perdu environ 280 millions de dollars lors d'un exploit. La plateforme a rapporté que les attaquants avaient passé des mois à obtenir l'accès avant de déployer un logiciel malveillant. Ces incidents montrent les défis persistants en matière de sécurisation des systèmes de finance décentralisée.
