L'attaquant derrière l'exploit de près de 300 millions de dollars de rsETH de KelpDAO est en train de blanchir des fonds d'Ethereum vers Arbitrum et dans des USDT basés sur Tron.
L'attaquant derrière l'exploit de près de 300 millions de dollars de KelpDAO a commencé à blanchir le butin, acheminant les fonds via Arbitrum et vers des stablecoins basés sur Tron, une action qui renforce les craintes concernant la récupérabilité et la traçabilité à travers la DeFi.
Les données on-chain montrent l'exploiteur pontant les actifs dérivés de rsETH vers Arbitrum, les échangeant contre des $USDT, puis transférant la valeur vers l'écosystème Tron, un schéma qui, selon les enquêteurs, est conçu pour brouiller la piste d'audit et exploiter la liquidité sur plusieurs réseaux.
Les analystes ont averti dans une note que la violation d'environ 293 millions de dollars de KelpDAO « pourrait forcer les grandes banques de Wall Street à réévaluer le rythme » de leurs projets de blockchain et de tokenisation, arguant que l'incident expose des « risques d'infrastructure critiques associés aux ponts cross-chain et aux configurations à validateur unique. »
Andrew Moss, analyste des actifs numériques chez Jefferies, a déclaré que l'exploit est susceptible de « pousser les grandes banques de Wall Street à reconsidérer leurs initiatives blockchain », même si les cas d'utilisation à long terme comme les stablecoins pour les paiements transfrontaliers restent intacts.
L'exploit du 18 avril a drainé 116 500 rsETH — d'une valeur d'environ 290 à 293 millions de dollars — du pont de KelpDAO, ce que les bureaux de recherche ont qualifié de plus grande perte DeFi de 2026 à ce jour.
LayerZero, dont l'infrastructure soutenait le pont rsETH, a déclaré que l'incident était isolé à la configuration de vérificateur 1-sur-1 de Kelp et faisait suite à une compromission des nœuds RPC, tandis que KelpDAO a rétorqué, arguant avoir mis en œuvre les propres paramètres par défaut de LayerZero et qu'« une seule signature forgée suffisait pour faire paraître n'importe quel message cross-chain réel. »
Alors que les investisseurs ont retiré environ 15 milliards de dollars de la DeFi après le piratage, l'incident KelpDAO a amplifié les inquiétudes selon lesquelles la conception des ponts et les hypothèses des validateurs deviennent des points de risque systémiques pour les protocoles de premier ordre et les expériences institutionnelles.
Yahoo Finance a rapporté que des attaquants liés à la Corée du Nord ont volé près de 600 millions de dollars aux applications on-chain au cours du seul premier trimestre, la perte de 294 millions de dollars de KelpDAO étant le dernier choc pour des allocateurs institutionnels déjà prudents.
Ajoutant à l'anxiété, la société de sécurité blockchain SlowMist a émis une alerte concernant une souche de malware macOS active baptisée « MacSync Stealer » (v1.1.2), qu'elle a décrite comme un malware de vol d'informations « à haut risque » ciblant les utilisateurs de crypto.
Selon SlowMist, MacSync Stealer est capable d'exfiltrer les portefeuilles de cryptomonnaies, les identifiants enregistrés par le navigateur, les trousseaux de clés système et les clés d'infrastructure telles que SSH, AWS et Kubernetes, utilisant souvent de fausses fenêtres pop-up AppleScript pour inciter les utilisateurs à entrer leurs mots de passe.
SlowMist a exhorté les utilisateurs à « éviter d'exécuter des scripts macOS provenant de sources non vérifiées et à être particulièrement prudents face aux invites inattendues de mots de passe système », notant que des indicateurs de compromission ont déjà été partagés avec les partenaires.
Avec trois des principaux titres du jour liés aux malwares macOS ou aux exploits de ponts DeFi, et Jefferies avertissant que des piratages majeurs comme celui de KelpDAO pourraient « ralentir temporairement l'adoption de la tokenisation TradFi alors que les entreprises réévaluent les risques de sécurité », l'écart entre la surface d'attaque technique de la crypto et la tolérance au risque de Wall Street est soudainement au premier plan.
