Kelp DAO a publié lundi un communiqué minimisant sa responsabilité directe dans l'exploit de 292 millions de dollars qui a eu lieu ce week-end.
Le 18 avril, le pont inter-chaînes Kelp DAO, alimenté par LayerZero, a perdu 116 500 tokens rsETH d'une valeur d'environ 292 millions de dollars, ce qui en fait le plus grand exploit DeFi de l'année à ce jour.
LayerZero a rapporté dimanche que l'attaquant, probablement le groupe Lazarus de Corée du Nord, avait eu accès à la liste des nœuds RPC utilisés par le réseau vérifié décentralisé (DVN) de LayerZero Labs. L'attaquant a ensuite empoisonné deux nœuds RPC et lancé une attaque DDoS pour obliger le DVN à accepter un faux message inter-chaînes, le conduisant à signer une transaction illégitime.
Dans son rapport, LayerZero a critiqué la configuration DVN 1 sur 1 de Kelp DAO, notant qu'elle créait un point de défaillance unique en l'absence de vérification indépendante nécessaire pour détecter le message inter-chaînes frauduleux.
"LayerZero et d'autres parties externes avaient précédemment communiqué les meilleures pratiques concernant la diversification des DVN à Kelp DAO", indique le rapport. "Malgré ces recommandations, Kelp DAO a choisi d'utiliser une configuration DVN 1/1."
La dernière déclaration de Kelp DAO a répondu à l'accusation de LayerZero, déplaçant la responsabilité de la configuration DVN 1 sur 1 sur LayerZero.
"La configuration DVN 1 sur 1 est la configuration documentée dans la documentation de LayerZero et fournie par défaut pour tout nouveau déploiement d'OFT", a écrit Kelp dans sa déclaration sur X. "Kelp opère sur l'infrastructure LayerZero depuis janvier 2024 et a maintenu un canal de communication ouvert avec l'équipe LayerZero tout au long de cette période."
Kelp a ajouté que le sujet de la configuration DVN avait été abordé lors de son expansion vers les L2, et que la configuration par défaut avait été "affirmativement confirmée comme appropriée" à l'époque.
"Établir un compte rendu partagé et précis de ce qui s'est passé est la base pour apporter les bonnes corrections ensemble", a déclaré Kelp.
Le pont inter-chaînes a également déclaré que sa réponse initiale – y compris la mise en pause des contrats pertinents et la mise sur liste noire des portefeuilles liés à l'attaquant – avait contribué à contenir la situation. Il a ajouté qu'il évaluait les prochaines étapes pour reprendre le protocole.
Entre-temps, l'impact de l'attaque s'est rapidement propagé au protocole Aave, car l'exploiteur a déposé une partie importante des actifs volés dans Aave V3. L'attaquant a utilisé le rsETH comme garantie pour emprunter des montants substantiels de WETH, augmentant ainsi le risque de créances douteuses sur le protocole.
Le dernier rapport d'incident d'Aave a indiqué que l'attaquant avait fourni 89 567 rsETH (d'une valeur d'environ 221 millions de dollars) en garantie et emprunté 82 650 WETH et 821 wstETH, laissant les positions avec des facteurs de santé très bas.
Le protocole a décrit deux scénarios hypothétiques de créances douteuses basés sur les données disponibles, étant donné que Kelp n'a pas officiellement annoncé de plan d'allocation des pertes ou de récupération.
Le premier scénario décrit une socialisation uniforme des pertes, en supposant qu'environ 112 204 rsETH diluent l'offre sur toutes les chaînes de manière égale. Cela entraînerait un désancrage de 15,12 % et mènerait à environ 123,7 millions de dollars de créances douteuses pour Aave.
"Ethereum Core absorbe la plus grande perte absolue (91,8 M$), mais sa réserve de WETH est suffisamment importante pour que le manque à gagner reste à 1,54 %", a écrit Aave. "Mantle, avec la plus petite réserve de WETH par rapport à son exposition au rsETH, subit un manque à gagner de 9,54 %, l'impact proportionnel le plus élevé dans ce scénario."
Le deuxième scénario suppose que les pertes sont isolées au rsETH L2, laissant le rsETH du réseau principal Ethereum entièrement garanti. Dans ce cas, une décote de 73,54 % serait appliquée sur la garantie L2. Cela entraînerait une augmentation des créances douteuses de 230,1 millions de dollars sur les marchés L2 tels que Mantle, Arbitrum et les marchés WETH de Base.
Dans le premier scénario, le WETH Umbrella d'Aave, détenant 54 millions de dollars, pourrait servir de filet de sécurité initial. Cet « umbrella » ne serait pas déclenché dans le second scénario.
"Le scénario qui se concrétise dépend de décisions échappant au contrôle d'Aave, principalement de la manière dont la comptabilité du rsETH et le taux de change du LRTOracle sont mis à jour", a déclaré Aave.
De plus, Aave a déclaré que l'Aave DAO maintenait un bilan solide avec 181 millions de dollars d'actifs, et qu'il avait reçu plusieurs engagements de participants de l'écosystème pour soutenir le protocole en cas de créances douteuses.
Avertissement : The Block est un média indépendant qui fournit des nouvelles, des recherches et des données. Depuis novembre 2023, Foresight Ventures est un investisseur majoritaire de The Block. Foresight Ventures investit dans d'autres sociétés de l'espace crypto. La bourse crypto Bitget est un LP ancre pour Foresight Ventures. The Block continue de fonctionner indépendamment pour fournir des informations objectives, percutantes et opportunes sur l'industrie crypto. Voici nos divulgations financières actuelles.
© 2026 The Block. Tous droits réservés. Cet article est fourni à titre informatif uniquement. Il n'est pas proposé ni destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
