# KelpDAO

#LayerZeroCEOAdmitsProtocolFlaws
Dans un retournement de situation significatif, le PDG de LayerZero Labs, Bryan Pellegrino, a publiquement admis des défaillances du protocole suite au piratage de 292 millions de dollars de Kelp DAO le 18 avril 2026, où un attaquant a exploité une configuration de sécurité 1/1 pour voler des tokens rsETH.
Publier sa déclaration sur X (anciennement Twitter) le 4 mai 2026, Pellegrino a confessé que le protocole LayerZero n'avait pas réussi à prévenir ou à signaler la configuration dangereuse 1/1. Il a reconnu qu'il "a supposé à tort qu'aucune application ne sécuriserait des milliards en TVL avec une telle configuration". De plus, Pellegrino a admis que LayerZero a aggravé la crise en imposant des changements de quorum RPC sans en informer les clients affectés, qualifiant leur communication de "total échec". Il a conclu en promettant que l'entreprise se recentrerait entièrement sur le service aux émetteurs d'actifs et le lancement prochain de Zero.
Cette admission a marqué un revirement spectaculaire par rapport à la réponse initiale de LayerZero, qui imputait la responsabilité entièrement à la couche application et aux choix de configuration propres à Kelp DAO. Les excuses publiques ont suivi de nombreuses critiques de la communauté crypto, notamment après que des développeurs tiers ont démontré comment la configuration dangereuse 1/1 était mise en avant de manière proéminente dans la documentation officielle de LayerZero comme point de départ. Ce changement de sentiment a finalement forcé Pellegrino à assumer la responsabilité de ce que les critiques ont qualifié d'"arrogance systémique".
Kelp DAO, cependant, reste sceptique. Le 5 mai, ils ont publié une réfutation détaillée arguant que la configuration compromise était la norme de la plateforme, affirmant qu'environ 47 % des 2 665 contrats actifs de LayerZero fonctionnaient avec des configurations 1/1 au moment de l'exploitation. Kelp a également publié des captures d'écran Telegram prétendument montrant un employé de LayerZero approuvant la configuration 1/1 avant l'incident. Kelp a en outre questionné pourquoi la surveillance de LayerZero n'a pas détecté la compromission du nœud RPC avant que les messages falsifiés ne soient signés, une brèche qu'ils relient directement au groupe Lazarus de la Corée du Nord.
En conséquence, Kelp DAO a confirmé sa migration de rsETH de LayerZero vers la norme CCIP de Chainlink sur toutes les chaînes supportées, soulignant la perte permanente de confiance dans l'architecture du protocole.

#KelpDAOBridgeHacked
Exploit du pont KelpDAO : Analyse technique et impact sur l'industrie
Le 18 avril 2026, le pont cross-chain rsETH de KelpDAO a subi la plus grande exploitation DeFi de 2026, avec des attaquants drainant environ 116 500 rsETH d'une valeur d'environ $292 millions. L'incident représente environ 18 % de l'offre totale en circulation de rsETH et a déclenché des effets en cascade dans l'écosystème DeFi.
Analyse du vecteur d'attaque
L'exploitation a été réalisée par une attaque sophistiquée à plusieurs étapes ciblant l'infrastructure de LayerZero. Les attaquants ont d'abord compromis deux nœuds RPC indépendants exploités par LayerZero Labs, en remplaçant les binaires op-geth légitimes par des versions malveillantes. Ces nœuds empoisonnés ont été configurés spécifiquement pour tromper le réseau de vérification décentralisé de LayerZero (DVN) tout en maintenant des réponses véridiques aux autres systèmes de surveillance, évitant ainsi la détection.
La séquence d'attaque impliquait une attaque coordonnée par DDoS contre un troisième nœud RPC propre, forçant le DVN à basculer vers l'infrastructure compromise. La configuration du pont de KelpDAO utilisait une configuration DVN 1-sur-1, ce qui signifie que seul le DVN de LayerZero Labs était nécessaire pour valider les messages cross-chain. Les nœuds empoisonnés ont confirmé avec succès une transaction de brûlage falsifiée sur Unichain, que le système de relais EndpointV2 a propagée à l'adaptateur OFT de KelpDAO, déclenchant la libération non autorisée des réserves du réseau principal.
Après l'exploitation, l'attaquant a systématiquement lavé le rsETH volé à travers plusieurs portefeuilles, déposant des fonds en tant que collatéral sur les marchés Aave V3 sur Ethereum et Arbitrum. L'attaquant a sécurisé environ 75 700 WETH sur Ethereum et 30 800 WETH sur Arbitrum, atteignant des ratios prêt/valeur proches de 99 % avant que des freezes au niveau du protocole n'arrêtent tout emprunt supplémentaire.
Profil de l'attribution et de l'acteur menaçant
Des chercheurs en sécurité et des sociétés d'analyse blockchain ont attribué l'attaque au groupe Lazarus de Corée du Nord, en particulier le cluster TraderTraitor. Les caractéristiques opérationnelles correspondent aux méthodologies documentées de Lazarus : tactiques d'intrusion patientes, manipulation de l'infrastructure de confiance, et mécanismes sophistiqués de suppression de détection. Le malware utilisé s'est autodétruit après l'exploitation, effaçant systématiquement les preuves forensiques des systèmes compromis.
Réponse du protocole et confinement
Aave a réagi en quelques heures en gelant les marchés rsETH sur les déploiements V3 et V4, y compris l'intégration SparkLend. Le protocole fait actuellement face à environ $177 millions de dettes douteuses, principalement concentrées sur Arbitrum. La valeur totale verrouillée dans l'écosystème Aave est passée de $26 milliards à $18 milliards, représentant entre 8 et 14 milliards de dollars en sorties alors que les fournisseurs de liquidités ont retiré leur capital.
La contagion s'est étendue au-delà d'Aave, avec plus de 15 protocoles mettant en pause d'urgence leurs ponts. Les pools de prêt WETH ont atteint un taux d'utilisation de 100 %, créant des risques de liquidation secondaire pour les positions à effet de levier. KelpDAO a inscrit en liste noire les adresses de l'exploitant et affirme avoir empêché environ $95 millions d'autres tentatives d'attaque en suivi.
Analyse de la cause racine contestée
Un différend important existe entre KelpDAO et LayerZero concernant la responsabilité fondamentale. LayerZero maintient que la configuration DVN 1-sur-1 de KelpDAO s'écartait des pratiques de sécurité recommandées, soulignant que le protocole lui-même ne contenait aucune vulnérabilité et que l'incident était isolé à l'infrastructure rsETH. LayerZero a par la suite corrigé les systèmes DVN et RPC affectés.
KelpDAO contre-argumente que la documentation par défaut de LayerZero et ses configurations de démarrage rapide recommandaient la configuration 1-sur-1, arguant que le fournisseur d'infrastructure porte la responsabilité de la sécurité des nœuds RPC. Les deux parties conviennent qu'aucun bug de contrat intelligent n'a été exploité ; la cause racine réside dans les hypothèses de confiance dans des configurations à point de défaillance unique.
Implications pour la sécurité DeFi
L'incident met en lumière des vulnérabilités critiques dans les architectures de ponts cross-chain, notamment en ce qui concerne la sécurité de l'infrastructure RPC. Les nœuds RPC sont devenus un maillon faible systémique, la plupart des protocoles dépendant d'un nombre limité de fournisseurs sans diversification adéquate en cas de défaillance. L'exploitation démontre que même des systèmes de vérification multi-signatures sophistiqués peuvent être compromis lorsque les sources de données sous-jacentes sont empoisonnées.
Les analystes de l'industrie recommandent la mise en œuvre immédiate de configurations multi-DVN, de réseaux diversifiés de fournisseurs RPC, et de systèmes d'audit de configuration en temps réel. L'architecture de sécurité modulaire de LayerZero a limité le rayon d'impact à rsETH spécifiquement, sans affecter d'autres contrats OFT ou OApp, suggérant que les cadres de messagerie cross-chain peuvent maintenir leur résilience même lors d'attaques ciblées sur l'infrastructure.
Statut actuel et efforts de récupération
La gouvernance d'Aave discute actuellement de mécanismes de socialisation de la dette pour faire face à la situation de mauvaise dette. KelpDAO, LayerZero et Aave ont établi des canaux de coordination pour les opérations de récupération. Le collectif de sécurité blockchain Seal-911 suit activement les mouvements de fonds, une partie des actifs volés étant identifiée comme passant par Tornado Cash et d'autres protocoles d'obfuscation. Les négociations avec les whitehats restent ouvertes, mais aucune récupération n'a été confirmée au moment de la rédaction.
L'exploitation établit un nouveau record pour les hacks DeFi de 2026, dépassant l'incident Drift Protocol de $285 millions du 1er avril. L'incident renforce les préoccupations continues concernant la sécurité des ponts comme vecteur principal d'attaque dans la DeFi, l'infrastructure cross-chain restant la frontière de sécurité la plus contestée de l'écosystème.
#KelpDAO #DeFiSecurity #BridgeExploit #CryptoNews