Kelp DAO : exploit de 292 millions $, Aave lance un fonds de secours DeFi historique

📋 En bref (TL;DR)

  • Kelp DAO a perdu 292 millions $ en rsETH le 18 avril, le plus gros exploit DeFi de 2026
  • L’attaque a visé l’infrastructure du bridge cross-chain, pas un bug de smart contract : des nœuds RPC compromis ont alimenté le système en fausses données
  • Aave a subi 8,4 milliards $ de retraits et propose 25 000 ETH de son trésor pour le fonds de secours « DeFi United »
  • La TVL DeFi a chuté de 13 milliards $ en 48 heures, passant sous les 87 milliards $
  • Arbitrum a gelé 71 millions $ d’ETH liés à l’exploit via son Security Council
  • Le groupe Lazarus (Corée du Nord) est soupçonné, après le hack Drift Protocol (285 M$) deux semaines plus tôt

Le 18 avril 2026, le protocole Kelp DAO a été victime du plus important exploit DeFi de l’année. En ciblant le bridge cross-chain du protocole, les attaquants ont extrait 116 500 rsETH, soit environ 292 millions de dollars. L’attaque a déclenché une onde de choc dans l’ensemble de l’écosystème, provoquant 13 milliards de dollars de retraits en deux jours.

Face à cette crise, Aave a lancé « DeFi United », un fonds de secours inter-protocoles inédit. L’initiative a déjà rassemblé 160 millions de dollars sur les 200 millions nécessaires.

Comment l’attaque a fonctionné : pas un bug, une tromperie

Contrairement à la plupart des exploits DeFi, celui de Kelp DAO ne résulte pas d’une faille dans un smart contract. Les attaquants ont ciblé l’infrastructure sous-jacente du bridge, qui utilisait le protocole de messagerie LayerZero pour déplacer le rsETH entre plus de 20 blockchains.

Le point faible : Kelp utilisait une configuration « 1-of-1 DVN » (Decentralized Verifier Network). Un seul vérificateur — celui de LayerZero — validait les messages cross-chain. Aucune redondance.

Les attaquants ont compromis deux nœuds RPC internes utilisés par ce vérificateur unique. Simultanément, ils ont lancé une attaque DDoS contre le nœud de secours externe. Le vérificateur, privé de toute source fiable, s’est rabattu sur les nœuds compromis. Ceux-ci ont confirmé un faux message : un « burn » de rsETH qui n’avait jamais eu lieu.

Le bridge Ethereum a alors libéré 116 500 rsETH vers l’adresse de l’attaquant. Comme l’a résumé Ben Fisch, PDG d’Espresso Systems : « Les attaquants ont compromis des nœuds et alimenté le système avec une fausse version de la réalité. Le bridge fonctionnait comme prévu. Il a simplement cru la mauvaise information. »

Kelp et LayerZero se rejettent la faute

LayerZero a pointé la configuration choisie par Kelp. « KelpDAO a choisi d’utiliser une configuration DVN 1/1 », a déclaré le protocole, ajoutant qu’une configuration multi-vérificateurs aurait rendu l’attaque inefficace.

Kelp DAO a riposté. Le protocole affirme que la configuration 1-of-1 est celle recommandée par défaut dans la documentation de LayerZero. Kelp estime que 40 % des protocoles utilisant LayerZero fonctionnent avec cette même configuration.

L’onde de choc : 13 milliards $ de TVL évaporés

L’exploit a provoqué une panique dans l’ensemble de la DeFi. En 48 heures, la TVL totale est passée de 99,5 milliards à 86,3 milliards de dollars — une chute de 13,2 milliards.

Aave, premier protocole de lending DeFi, a été le plus touché. L’attaquant avait déposé 89 567 rsETH en collatéral sur Aave pour emprunter environ 195 millions de dollars en ETH. La TVL d’Aave a plongé de 26,4 à 20 milliards de dollars en 24 heures. Le token AAVE a perdu 16 %, tombant à 92 $.

D’autres protocoles ont déclenché des pauses d’urgence : SparkLend, Fluid, Lido et Ethena ont gelé certaines opérations dans les heures suivant l’exploit.

« DeFi United » : un fonds de secours sans précédent

Face à un trou de 163 000 ETH à combler, Aave a lancé le 23 avril l’initiative « DeFi United ». Ce fonds de secours inter-protocoles est une première dans l’histoire de la DeFi. Son objectif : rassembler environ 100 000 ETH pour restaurer l’adossement du rsETH.

Aave propose d’allouer 25 000 ETH (environ 58 millions $) de son trésor. Le fondateur Stani Kulechov a engagé 5 000 ETH de sa fortune personnelle : « Aave est l’œuvre de ma vie et nous travaillons sans relâche pour trouver la meilleure issue possible pour les utilisateurs. »

Les contributeurs affluent. Mantle a proposé un prêt à taux réduit de 30 000 ETH. EtherFi a versé 5 000 ETH. Lido contribue à hauteur de 2 500 stETH. LayerZero, Ethena et Frax Finance ont également annoncé des engagements. Au total, plus de 43 500 ETH ont été formellement promis.

Arbitrum gèle 71 millions $ liés à l’exploit

Le Security Council d’Arbitrum a gelé 30 766 ETH (71 millions $) identifiés comme liés à l’attaquant. Neuf des douze membres du conseil ont voté en faveur du gel. Les fonds restent dans un portefeuille intermédiaire, accessible uniquement par un vote complet de la DAO Arbitrum.

Cette action a relancé le débat sur la décentralisation. Les interventions de gouvernance sur des fonds d’utilisateurs restent rares et controversées dans un écosystème qui se veut « permissionless ».

La menace Lazarus : deux attaques à 285 M$+ en 18 jours

LayerZero attribue l’attaque « avec une confiance préliminaire » au groupe Lazarus, unité de hackers liée à la Corée du Nord. Le sous-groupe TraderTraitor serait responsable.

Ce même groupe est soupçonné d’être derrière le hack de Drift Protocol le 1er avril (285 millions $). En 18 jours, deux attaques de plus de 285 millions de dollars, avec des vecteurs complètement différents : ingénierie sociale pour Drift, empoisonnement d’infrastructure pour Kelp.

Au total, plus de 750 millions de dollars ont été volés en DeFi depuis le début de 2026. Les bridges représentent environ 40 % des pertes cumulées du Web3 depuis 2022, soit plus de 2,8 milliards de dollars.

Où en est la situation aujourd’hui ?

Au 26 avril, le fonds DeFi United a rassemblé environ 160 millions de dollars sur les 200 millions nécessaires, soit 80 % de l’objectif. La proposition Aave est au stade ARFC (consultation communautaire) et devra passer par un vote Snapshot puis une AIP formelle.

Le token AAVE a récupéré une partie de ses pertes. Mais l’exploit Kelp DAO rappelle une réalité inconfortable : les bridges cross-chain restent le maillon faible de la DeFi. Ni Kelp ni LayerZero n’a accepté la responsabilité. La vraie leçon concerne les hypothèses de confiance cachées que les utilisateurs ne peuvent pas évaluer.

📚 Glossaire

  • Kelp DAO : Protocole DeFi de « liquid restaking » permettant de tokeniser l’ETH mis en staking pour le réutiliser dans d’autres protocoles. Son token rsETH représente de l’ETH staké.
  • DeFi (Finance Décentralisée) : Ensemble de services financiers (prêts, échanges, épargne) fonctionnant sur des blockchains sans intermédiaire bancaire.
  • Bridge : Infrastructure permettant de transférer des cryptomonnaies d’une blockchain à une autre. Maillon critique et souvent vulnérable de l’écosystème.
  • Smart contract : Programme informatique auto-exécutable déployé sur une blockchain. Il applique automatiquement les règles codées sans intervention humaine.
  • TVL (Total Value Locked) : Valeur totale des cryptomonnaies déposées dans un protocole DeFi. Indicateur clé de la santé de l’écosystème.
  • Exploit : Attaque exploitant une faille technique ou une faiblesse de configuration pour voler des fonds dans un protocole DeFi.

Questions fréquentes

Combien a été volé dans l'exploit Kelp DAO ?

116 500 rsETH ont été extraits, soit environ 292 millions de dollars. C’est le plus gros exploit DeFi de 2026, devant le hack de Drift Protocol (285 millions $).

Comment l'attaque de Kelp DAO a-t-elle fonctionné ?

Les attaquants ont compromis des nœuds d’infrastructure du bridge cross-chain, pas un smart contract. Ils ont alimenté le vérificateur unique avec de fausses données pour libérer des fonds contre un burn inexistant.

Qu'est-ce que le fonds DeFi United lancé par Aave ?

C’est un fonds de secours inter-protocoles visant à combler le déficit laissé par l’exploit. Aave contribue 25 000 ETH, avec des contributions de Mantle (30 000 ETH), EtherFi (5 000 ETH) et d’autres. 80 % de l’objectif est atteint.

Qui est derrière l'attaque de Kelp DAO ?

L’attaque est attribuée avec une confiance préliminaire au groupe Lazarus, des hackers liés à la Corée du Nord. Ce même groupe est soupçonné du hack Drift Protocol deux semaines plus tôt.

Les bridges crypto sont-ils sûrs ?

Les bridges restent le maillon faible de la DeFi. Depuis 2022, ils ont généré plus de 2,8 milliards de dollars de pertes, soit environ 40 % de toutes les sommes volées dans le Web3.

📰 Sources

Cet article s’appuie sur les sources suivantes :

  • Chainalysis – Inside the KelpDAO Bridge Exploit (avril 2026)
  • CoinDesk – 2026’s Biggest Crypto Exploit: Kelp DAO Hit for $292M
  • The Defiant – Aave Announces DeFi United Relief Fund
  • CoinDesk – Arbitrum Freezes $71M in Ether Tied to Kelp DAO Exploit
  • Journal du Coin – 750 millions volés en 2026, les bridges au cœur de la tempête

Comment citer cet article : Fibo Crypto. (2026). Kelp DAO : exploit de 292 millions $, Aave lance un fonds de secours DeFi historique. Consulté le 26 avril 2026 sur https://fibo-crypto.fr/kelp-dao-exploit-292-millions-aave-defi-united

La façon la plus simple d’acheter, échanger et gérer vos cryptos

Rejoignez les premiers utilisateurs et bénéficiez d’un accès prioritaire. Sans seed phrase, frais 3.5x plus bas, rendement DeFi intégré.

Rejoindre la waitlist →