Hack KelpDAO : 293 millions $ volés, Aave perd 8 milliards — la DeFi en état de choc

📋 En bref (TL;DR)
- 293 millions $ volés : le protocole de restaking KelpDAO victime du plus gros hack crypto de 2026, via une faille de bridge cross-chain
- Lazarus Group identifié : LayerZero attribue l’attaque à TraderTraitor, unité nord-coréenne ayant déjà frappé Drift Protocol (285M$) 18 jours plus tôt
- Aave en crise : 196 millions $ de dette irrécupérable, 8,45 milliards $ de retraits en 48 heures, pools ETH à 100% d’utilisation
- Bank run DeFi : Justin Sun retire 154M$ d’ETH d’Aave, déclenchant une panique généralisée sur tous les protocoles de lending
- 13,2 milliards $ de TVL DeFi évaporés en deux jours — certains analystes déclarent « la DeFi est morte »
- Faille de configuration : KelpDAO utilisait un seul vérificateur (1-of-1 DVN) au lieu de la configuration multi-vérificateurs recommandée par LayerZero
Le week-end du 18 avril 2026 restera gravé dans l’histoire de la finance décentralisée. En moins de 46 minutes, un attaquant a siphonné 293 millions de dollars du protocole de restaking KelpDAO, provoquant une onde de choc qui a fait vaciller Aave, le plus grand protocole de lending crypto au monde. Retour sur un hack qui remet en question la sécurité des bridges cross-chain.
46 minutes pour voler 293 millions $ : anatomie de l’attaque
Samedi 18 avril, entre 17h20 et 18h40 UTC, un attaquant sophistiqué a exploité une vulnérabilité dans la configuration du bridge cross-chain de KelpDAO. Le protocole, qui permet de déposer de l’ETH pour obtenir des tokens rsETH utilisables sur plus de 20 blockchains via LayerZero, présentait une faille critique : un seul vérificateur (DVN) validait les messages cross-chain.
L’attaque s’est déroulée en trois phases :
- Phase 1 — Empoisonnement : l’attaquant a compromis deux nœuds RPC utilisés par le vérificateur de LayerZero, injectant du code malveillant conçu pour ne falsifier que les données destinées à ce vérificateur spécifique
- Phase 2 — DDoS : une attaque par déni de service a forcé le basculement vers les nœuds empoisonnés, rendant le vérificateur aveugle à la réalité
- Phase 3 — Extraction : le bridge a libéré 116 500 rsETH (~293M$) vers une adresse contrôlée par l’attaquant, sans qu’aucun ETH n’ait réellement transité de l’autre côté — les tokens ont été « créés à partir de rien »
L’équipe de KelpDAO a activé le bouton d’arrêt d’urgence 46 minutes après le premier drain. Deux tentatives de drainage supplémentaires de ~100M$ chacune ont été bloquées par la pause.
Lazarus Group : 578 millions $ volés en 18 jours
LayerZero a officiellement attribué l’attaque au groupe Lazarus, et plus précisément à sa sous-unité TraderTraitor, liée au régime nord-coréen. Les indices convergent : financement initial via Tornado Cash, malware auto-destructeur, sophistication technique du DDoS combiné au poisonnement RPC.
Le plus inquiétant : c’est la même unité qui avait frappé le protocole Drift le 1er avril, dérobant 285 millions $ via ingénierie sociale. En 18 jours, TraderTraitor a donc volé plus de 578 millions $ à la DeFi — deux vecteurs d’attaque totalement différents (technique vs humain), démontrant une polyvalence redoutable.
Selon Chainalysis, les hackers nord-coréens ont volé un record de 2,02 milliards $ en 2025, portant leur total historique à 6,75 milliards $. L’année 2026 pourrait surpasser ce record.
Aave : bank run et 196 millions $ de dette irrécupérable
L’attaquant n’a pas simplement volé des tokens. Il a déposé les rsETH volés (sans valeur réelle) comme collatéral sur Aave V3 et V4, empruntant du wETH « propre » en échange. Résultat : 196 millions $ de dette irrécupérable sur Aave.
Ce qui a suivi relève du cauchemar pour la DeFi :
- Justin Sun a retiré 65 584 ETH (154M$) en une seule transaction, déclenchant la panique
- Les pools wETH, USDT et USDC d’Aave ont atteint 100% d’utilisation, bloquant les retraits
- 5,4 milliards $ d’ETH ont été retirés du pool wETH d’Aave en 24 heures
- Les utilisateurs bloqués ont emprunté massivement des stablecoins pour « sortir » — un pic de 300 millions $ d’emprunts supplémentaires
- La TVL d’Aave est passée de 26,4 à ~18 milliards $ en 48 heures (-8,45 milliards)
Le token AAVE a chuté d’environ 20%, tombant à ~90$. Le fondateur Stani Kulechov a précisé que « les smart contracts d’Aave n’ont pas été compromis » — la faille est externe, mais les conséquences sont internes.
Contagion : 13,2 milliards $ de TVL DeFi évaporés
La panique ne s’est pas limitée à Aave. En deux jours, la TVL totale de la DeFi a chuté de 99,5 à 86,3 milliards $, soit une perte de 13,2 milliards $. Neuf protocoles majeurs ont pris des mesures d’urgence :
- Aave, SparkLend, Compound, Euler, Fluid — gel des marchés rsETH
- Lido Finance — pause des dépôts earnETH
- Ethena — pause des bridges LayerZero OFT pendant 6 heures
- Morpho, Sky — sorties massives de capitaux
Justin Sun a publiquement proposé de négocier avec le hacker : « OK — hacker de KelpDAO, combien voulez-vous ? Parlons. Vous ne pouvez pas dépenser 300 millions de toute façon. » Une démarche inédite qui illustre l’ampleur de la crise.
LayerZero pointe la configuration de KelpDAO
LayerZero a rapidement clarifié : il ne s’agit pas d’un bug protocolaire, mais d’un choix de configuration de KelpDAO. Le protocole utilisait un DVN (Decentralized Verifier Network) en configuration 1-of-1 — un seul vérificateur — alors que LayerZero recommandait explicitement une configuration multi-vérificateurs avec redondance.
En réponse, LayerZero a annoncé qu’il refusera désormais de signer les messages pour tout projet utilisant une configuration 1-of-1. Le token ZRO de LayerZero a néanmoins chuté de près de 30% avant de se stabiliser.
Michael Egorov, fondateur de Curve, a résumé la leçon : « Le cross-chain est difficile et potentiellement risqué. N’utilisez les infrastructures cross-chain que lorsque c’est absolument nécessaire, et faites-le très prudemment. »
Quelles leçons pour les investisseurs ?
Ce hack soulève des questions fondamentales sur la sécurité de la DeFi :
- Le risque de collatéral toxique : Aave a accepté du rsETH comme collatéral sans pouvoir vérifier en temps réel que les tokens étaient réellement adossés à de l’ETH
- La dépendance aux bridges : les protocoles cross-chain restent le maillon faible de l’écosystème DeFi
- Le risque de contagion systémique : un seul hack peut déclencher un bank run sur l’ensemble de la DeFi
- La menace étatique persistante : Lazarus dispose de moyens quasi-illimités et adapte constamment ses vecteurs d’attaque
Pour les utilisateurs DeFi, la prudence s’impose : diversifier ses protocoles de lending, limiter l’exposition aux tokens de restaking complexes, et surveiller les configurations de sécurité des protocoles utilisés.
📚 Glossaire
- DeFi (Finance décentralisée) : Écosystème d’applications financières fonctionnant sur des blockchains sans intermédiaires centralisés. Inclut le lending, le trading décentralisé et les stablecoins.
- Restaking : Technique permettant de réutiliser de l’ETH déjà mis en staking (via EigenLayer) pour sécuriser d’autres protocoles, générant des rendements supplémentaires.
- Bridge : Infrastructure permettant de transférer des tokens d’une blockchain à une autre. Point faible historique de la DeFi en matière de sécurité.
- TVL (Total Value Locked) : Montant total des actifs déposés dans un protocole DeFi. Principal indicateur de confiance et de taille d’un protocole.
- Collatéral : Actif déposé en garantie pour obtenir un emprunt sur un protocole de lending comme Aave.
- Tornado Cash : Protocole de mixage de transactions sur Ethereum utilisé pour anonymiser les transferts. Sanctionné par l’OFAC américain en 2022.
Questions fréquentes
Qu'est-ce que le hack KelpDAO et combien a été volé ?
Le 18 avril 2026, un attaquant a exploité une faille dans la configuration du bridge cross-chain de KelpDAO pour voler 116 500 rsETH, soit environ 293 millions de dollars. C’est le plus gros hack crypto de 2026. L’attaque a duré 46 minutes avant d’être stoppée.
Qui est responsable du hack KelpDAO ?
LayerZero a attribué l’attaque au groupe Lazarus (Corée du Nord), plus précisément à la sous-unité TraderTraitor. La même unité avait volé 285 millions $ au protocole Drift le 1er avril 2026, soit 578 millions $ en 18 jours.
Aave a-t-il été piraté lors du hack KelpDAO ?
Non, les smart contracts d’Aave n’ont pas été compromis. Mais l’attaquant a utilisé les rsETH volés (sans valeur réelle) comme collatéral sur Aave pour emprunter du wETH. Cela a créé 196 millions $ de dette irrécupérable et déclenché un bank run avec 8,45 milliards $ de retraits en 48h.
Mes fonds en DeFi sont-ils en danger après le hack KelpDAO ?
Le risque dépend des protocoles utilisés. Si vous avez des fonds sur Aave, les marchés rsETH ont été gelés. Les protocoles qui n’utilisaient pas de rsETH ne sont pas directement affectés. La panique a néanmoins provoqué des retraits massifs sur l’ensemble de la DeFi. Diversifier ses protocoles reste la meilleure protection.
Qu'est-ce qu'un bridge cross-chain et pourquoi est-ce risqué ?
Un bridge permet de transférer des tokens entre différentes blockchains. C’est historiquement le maillon faible de la DeFi : les bridges représentent des milliards de dollars de pertes cumulées depuis 2021. Le hack KelpDAO illustre que même une configuration « décentralisée » peut être vulnérable si elle repose sur un seul vérificateur.
📰 Sources
Cet article s’appuie sur les sources suivantes :
- CoinDesk – 2026’s biggest crypto exploit: Kelp DAO hit for $292 million (19 avril 2026)
- CoinDesk – LayerZero blames Kelp’s setup, attributes to Lazarus (20 avril 2026)
- The Defiant – Kelp DAO loses $293M, leaving Aave with over $200M in bad debt
- CoinCentral – $292 Million Gone in 46 Minutes: Inside the Kelp DAO DeFi Hack
- CoinDesk – DeFi TVL drops more than $13 billion in two days (20 avril 2026)
Comment citer cet article : Fibo Crypto. (2026). Hack KelpDAO : 293 millions $ volés, Aave perd 8 milliards — la DeFi en état de choc. Consulté le 20 avril 2026 sur fibo-crypto.fr
La façon la plus simple d’acheter, échanger et gérer vos cryptos
Rejoignez les premiers utilisateurs et bénéficiez d’un accès prioritaire. Sans seed phrase, frais 3.5x plus bas, rendement DeFi intégré.
Rejoindre la waitlist →




