#DeFiLossesTop600MInApril

Avril 2026 est désormais le pire mois enregistre pour les violations de sécurité dans la DeFi. CertiK a recensé 29 incidents totalisant 651 millions de dollars de pertes — et deux méga-exploits à eux seuls ont représenté 93 % des dégâts.

Les deux coups catastrophiques :

Drift Protocol (Solana) — $285M (1er avril) : Le groupe Lazarus a passé 6 mois à établir la confiance avec l'équipe de Drift — réunions en personne dans plusieurs pays, plus de $1M en dépôts réels — puis a trompé les signataires multisig pour pré-approuver des autorisations cachées et a drainé $285M en 12 minutes. Les fonds ont été transférés vers Ethereum en quelques heures. La deuxième plus grande exploitation de l'histoire de Solana.

Kelp DAO (Ethereum/LayerZero) — $293M (18 avril) : Un attaquant a envoyé un message inter-chaînes usurpé au pont LayerZero de Kelp DAO à 17h35 UTC, le trompant pour qu'il libère 116 500 rsETH (~18 % de l'offre totale en circulation du jeton). Le rsETH volé a ensuite été déposé en tant que garantie sur Aave v3, empruntant d'énormes quantités de wETH — laissant Aave avec $195M en créances douteuses, un crash de 18 % du jeton AAVE, et des sorties de TVL d'environ $8B .

Répartition par vecteur d'attaque (données de CertiK) :

Vecteur Pertes

Compromissions de portefeuilles $611M

Manipulation de prix 18,8 M$

Vulnérabilités du code 16,9 M$

Phishing 3,5 M$

Contrats non vérifiés 8,5 M$

Attaques sur le front-end $544K

Conséquences systémiques :

~$14B de sorties de TVL en DeFi à travers les protocoles

Le TVL d'Aave a chuté d'environ $8B en 24 heures ; le jeton AAVE est passé de 112 $ à 89,5 $

Aave a gelé les marchés rsETH sur v3 et v4

Le Conseil de sécurité d'Arbitrum a gelé environ $71M en ETH lié au piratage de Kelp DAO

Les opérateurs nord-coréens (Groupe Lazarus) représentent désormais 76 % de tous les vols de crypto en 2026 (TRM Labs)

Une lueur d'espoir — fonds de récupération "DeFi United" : une campagne de récupération participative orchestrée par Aave a permis de lever plus de $302M — suffisamment pour couvrir entièrement l'exploitation de Kelp DAO. Les contributions incluent Aave DAO (25 000 ETH), Lido DAO (2 500 ETH), et des engagements de Kelp DAO et LayerZero eux-mêmes.

Mais une nouvelle tournure : l'enquêteur on-chain ZachXBT a accusé le cabinet d'avocats américain Gerstein Harrow LLP d'avoir déposé de fausses réclamations pour saisir les fonds gelés de KelpDAO, en s'appuyant sur un jugement de 2015 contre la Corée du Nord pour privilégier leurs clients avant les victimes réelles du piratage de 2026. ZachXBT a proposé une DAO communautaire pour contrer légalement le cabinet.

Leçons de sécurité pour les utilisateurs de DeFi :

Vérifiez la gouvernance multisig — les migrations sans verrouillage temporel sont une vulnérabilité fatale

Auditez rigoureusement les implémentations de ponts inter-chaînes (la vérification des messages LayerZero est cruciale)

Diversifiez les garanties — ne concentrez pas vos avoirs dans un seul jeton de restaking

Surveillez les capacités de gel/pausede protocoles — une réponse rapide a permis d'éviter d'autres tentatives de Kelp DAO

Utilisez des portefeuilles matériels et des stratégies séparant portefeuilles chaud/froid pour les positions importantes

Ce post est fraîchement partagé — pas de likes ni de commentaires pour l’instant. Soyez le premier à intervenir et à aider à sensibiliser. La sécurité en DeFi est la responsabilité de tous.

$71M