#KelpDAOBridgeHacked

L'exploitation du pont de KelpDAO n'est pas simplement une autre actualité de piratage dans la cryptomonnaie. C'est un rappel sérieux que dans la DeFi, le plus grand risque n'est souvent pas le produit principal en lequel les utilisateurs ont confiance chaque jour, mais l'infrastructure qui le sous-tend.

Le 18 avril, un attaquant a drainé 116 500 rsETH du système de pont de KelpDAO, d'une valeur d'environ 290 millions de dollars à l'époque. Cela représentait près de 18 % de l'offre en circulation de rsETH. Plusieurs rapports l'ont décrit comme la plus grande exploitation de la DeFi en 2026 jusqu'à présent.

Ce qui rend cet incident particulièrement important, c'est que le modèle de restaking lui-même ne semble pas être la partie qui a échoué. Selon les rapports, la véritable faiblesse résidait dans la configuration du pont liée à la messagerie LayerZero. La route aurait utilisé une configuration de vérificateur 1-sur-1, ce qui signifie qu'une seule vérification acceptée pouvait faire apparaître un message inter-chaînes falsifié comme valide.

En termes simples, si un pont ne repose que sur un seul point de contrôle, et que ce point est compromis ou mal utilisé, tout le système peut être exposé. C'est précisément pourquoi les ponts continuent d'être l'un des points faibles de la DeFi.

Les dégâts ne se sont pas arrêtés avec KelpDAO. Après avoir obtenu le rsETH, l'attaquant aurait utilisé les jetons volés comme garantie sur Aave et emprunté de grandes quantités de WETH contre eux. Cela a étendu le problème à l'écosystème DeFi plus large, car une fois qu'une mauvaise garantie entre dans un marché de prêt, le problème devient plus grand qu'un seul protocole.

Les rapports indiquent qu'Aave a gelé les marchés rsETH et estimé les pertes à environ $293 millions de dollars en créances douteuses, tandis que la crainte de contagion a rapidement affecté le sentiment général du marché.

Maintenant, l'incident s'est transformé en une bataille de blame. LayerZero affirme que l'exploitation était limitée à la configuration de KelpDAO et pointe la configuration à un seul validateur comme la raison pour laquelle le message falsifié a réussi. KelpDAO, de son côté, soutient que la configuration risquée suivait les paramètres par défaut documentés par LayerZero et reposait sur une infrastructure opérée par LayerZero.

En d'autres termes, les deux parties conviennent que le problème venait du chemin du pont, mais elles ne s'accordent pas sur la responsabilité de permettre que cette conception soit mise en ligne à une telle échelle.

Un angle géopolitique émerge également. Des rapports indiquent que des signes préliminaires pourraient pointer vers le groupe TraderTraitor de la Corée du Nord. Cette attribution est encore précoce et doit être traitée avec prudence, mais elle ajoute une couche supplémentaire de gravité à une exploitation qui s'annonce déjà comme l'un des événements de sécurité crypto majeurs de l'année.

La véritable leçon ici dépasse KelpDAO. La DeFi est devenue profondément interconnectée. Les ponts relient les chaînes, les tokens de restaking circulent entre les écosystèmes, et les marchés de prêt acceptent ces actifs comme garanties. Cette composabilité stimule la croissance en période favorable, mais en cas de défaillance, elle propage aussi très rapidement les dégâts.

Un vérificateur faible, un message falsifié, et une pièce de garantie toxique peuvent soudainement impacter les prêteurs, les fournisseurs de liquidité, les systèmes de gouvernance, et la confiance des utilisateurs, tout en même temps.

Si cet incident doit changer quelque chose, cela devrait modifier la façon dont le marché perçoit une infrastructure « suffisamment sûre ». Un protocole peut avoir une forte image de marque, une adoption rapide, et des mécanismes solides, mais si ses hypothèses sur le pont sont faibles, tout le système reste fragile.

L'exploitation de KelpDAO n'est pas seulement une histoire de fonds perdus. C'est une histoire de confiance cachée, de défauts risqués, et du prix que la DeFi paie lorsque le risque infrastructurel est sous-estimé.