TL;DR : L’essentiel
- L’attaque a ciblé une faille de vérification sur le pont technologique (bridge) reliant les blockchains de Kelp DAO, un outil servant à transférer des actifs entre réseaux, permettant la création frauduleuse de 116 500 jetons rsETH.
- Le groupe de pirates nord-coréens TraderTraitor est soupçonné d’avoir orchestré l’opération en empoisonnant des nœuds RPC, faisant de cet exploit le plus important vol de cryptomonnaies de l’année.
- Le protocole Aave subit un choc systémique avec le retrait de près de 6 milliards de dollars de ses réserves, alors que l’attaquant a utilisé les fonds volés comme collatéral.
Le weekend du 18 avril 2026, Kelp DAO a été victime d’un exploit critique entraînant la perte de plus de 290 millions de dollars en actifs numériques. Selon les informations rapportées par TechCrunch, cette attaque, attribuée aux services de renseignement du régime nord-coréen, exploite une vulnérabilité dans le mécanisme de pontage — un système permettant de déplacer des jetons d’une blockchain à une autre — opéré via la technologie LayerZero. Ce vol record pour l’année 2026 a immédiatement déclenché une onde de choc sur les marchés de la finance décentralisée (DeFi), affectant particulièrement le leader du prêt, Aave.
L’impact systémique de l’exploit Kelp DAO sur Aave
L’attaquant a pris pour cible le réseau de vérification décentralisé (DVN) de Kelp DAO. D’après The Block, le protocole utilisait une configuration dite « 1-of-1 », créant un point de défaillance unique malgré les recommandations de diversification préalablement communiquées. En empoisonnant deux nœuds RPC et en lançant une attaque par déni de service (DDoS), les pirates ont forcé la validation d’un message frauduleux.
Kelp DAO et LayerZero se rejettent désormais la responsabilité de ce paramétrage. Alors que LayerZero dénonce un choix de configuration risqué, Kelp DAO affirme que ce réglage était le standard documenté et initialement validé par les équipes techniques. Cette faille a permis aux attaquants de générer des actifs sans aucune contrepartie réelle, avant de les déplacer vers d’autres protocoles pour extraire de la valeur.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Aave face au risque de dette toxique et de liquidité
Les répercussions se sont rapidement étendues à Aave. Ce protocole de prêt décentralisé fonctionne comme une banque automatisée : il permet aux utilisateurs de déposer des cryptomonnaies pour gagner des intérêts ou de s’en servir comme garantie (collatéral) pour emprunter d’autres actifs. Dans ce cas précis, l’attaquant a déposé presque 90’000 rsETH frauduleux sur Aave pour emprunter massivement du Wrapped Ether (WETH), convertissant ainsi son butin en actifs plus liquides.
Comme l’indique CoinDesk, le protocole Aave a gelé ses marchés en urgence. La panique des déposants craignant pour la sécurité de leurs fonds a provoqué une chute de la valeur totale verrouillée d’un peu plus de 24 %, selon les données de l’analyste cité par Bitcoin.com. La gestion de cette crise dépendra de la stratégie de recouvrement et de l’activation éventuelle du mécanisme de sécurité « Umbrella » d’Aave pour couvrir le déficit. Cet incident souligne la fragilité des ponts inter-chaînes, identifiée par les responsables de Ledger comme un risque majeur pour 2026 selon CoinDesk.
Comprendre les enjeux techniques de l’exploit Kelp DAO
Qu’est-ce qu’un bridge dans l’écosystème crypto et pourquoi est-il une cible ?
Un bridge est un pont technologique permettant de transférer des actifs entre différentes blockchains. C’est une cible privilégiée car il concentre d’importantes réserves de liquidités et repose sur des mécanismes de vérification complexes qui, s’ils sont mal configurés, peuvent être détournés pour créer des actifs sans valeur réelle.
En quoi consistait la faille de configuration 1-of-1 utilisée par Kelp DAO ?
Cette configuration signifie qu’une seule signature de vérification était nécessaire pour approuver une transaction entre deux blockchains. Contrairement à une gestion exigeant plusieurs signatures indépendantes, ce paramétrage crée un point de défaillance unique. Les pirates ont compromis la source de données unique pour valider de faux transferts.
Pourquoi le piratage d’un projet externe comme Kelp DAO affecte-t-il Aave ?
Aave est interconnecté par l’usage des jetons rsETH comme garantie. En déposant ces jetons créés frauduleusement sur Aave, les attaquants ont pu emprunter des actifs sains. Si la valeur des rsETH s’effondre suite à l’attaque, Aave se retrouve avec des garanties qui ne couvrent plus les emprunts, mettant en danger les fonds des autres utilisateurs.
Qu’est-ce que la dette toxique mentionnée dans ce dossier ?
La dette toxique survient quand la valeur d’un prêt dépasse celle de la garantie fournie. Si les jetons déposés par les pirates perdent leur valeur, Aave ne peut plus vendre ces garanties pour rembourser les prêteurs initiaux. Le protocole doit alors puiser dans ses propres réserves de secours pour éponger la perte financière.
Quel est l’impact immédiat pour les déposants sur Aave ?
En raison de la panique et des retraits massifs, certaines réserves ont atteint un taux d’utilisation de 100 %. À ce niveau, les liquidités sont totalement mobilisées par des emprunts, ce qui bloque temporairement les retraits pour les autres déposants jusqu’à ce que de nouveaux fonds soient injectés ou que des dettes soient remboursées.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
