La DAO Kelp piratée a dérobé 293 millions de dollars.

Le protocole de restaking liquide Kelp DAO a été victime du plus grand piratage DeFi de 2026. L'attaquant a volé 116 500 $rsETH, soit 293 millions de dollars, grâce à une vulnérabilité du contrat OFT géré par LayerZero. Au lieu d'un simple échange, le pirate a instantanément déposé les jetons volés dans Aave (ainsi que dans Compound V3 et Euler) et a emprunté des WETH/ETH propres d'une valeur de plus de 236 millions de dollars.

Cela a déclenché une réaction en chaîne. La création d'une dette irrécouvrable massive (estimée entre 177 et 280 millions de dollars) dans les pools Aave a semé la panique chez les gros investisseurs. Selon Lookonchain, plus de 5,4 milliards de dollars d'actifs ont été retirés du protocole en ETH. Le taux d'utilisation des pools WETH a atteint 100%, la TVL d'Aave a chuté de plus de 6 milliards de dollars (passant de plus de 26 milliards à environ 22 milliards), et le token $AAVE a perdu 20% de sa valeur en 24 heures.

Comment le piratage s'est déroulé

L'attaque a eu lieu à 17h35 UTC via un message inter-chaînes falsifié dans LayerZero (fonction lzReceive). L'attaquant a créé une fausse instruction à partir d'un contrat pair (vraisemblablement sur Unichain), ce qui a permis à l'adaptateur OFT de Kelp DAO de créer 116 500 rsETH (18 % de l'offre totale en circulation) directement depuis le compte séquestre, sans aucune garantie réelle.

Il ne s'agissait pas d'un bug classique de contrat intelligent dans Kelp lui-même, mais d'une exploitation au niveau du pont utilisant la validation DVN 1 sur 1.

Le pirate n'a jamais vendu les rsETH sur les DEX. Au lieu de cela, il a immédiatement utilisé les jetons comme garantie sur plusieurs protocoles de prêt et a retiré de l'ETH. En seulement 46 minutes, Kelp DAO a suspendu les contrats et deux autres tentatives du pirate (pour un montant d'environ 200 millions de dollars) ont été bloquées avec succès.

Réactions au protocole

• Kelp DAO a immédiatement suspendu tous les contrats rsETH sur le réseau principal Ethereum et sur toutes les plateformes de couche 2 (Arbitrum, Base, Scroll, etc.). Déclaration officielle  : « Nous collaborons avec LayerZero, des auditeurs et des experts en sécurité afin d’identifier la cause profonde du problème. »
• Aave a gelé tous les marchés rsETH sur les plateformes V3 et V4. Son fondateur, Stani Kulechov, a souligné  : « Aave n’a pas été piraté ; le problème vient de l’utilisation du rsETH comme garantie. »
• SparkLend, Fluid et Upshift ont également introduit des restrictions d'urgence.

Impact sur le marché

• rsETH sur L2 fait désormais face à un risque de déconnexion sérieux, le support du réseau principal est compromis.
• Globalement, la TVL de la DeFi a chuté de plus de 10 milliards de dollars en raison d'une panique généralisée.
• Il s'agit déjà du deuxième piratage à neuf chiffres en un mois (après l'exploitation de la faille de 285 millions de dollars chez Drift Protocol). 2026 s'annonce comme l'année record pour le volume des attaques DeFi.

Le pirate informatique a commencé à blanchir des fonds via Tornado Cash. La récupération des actifs semble actuellement improbable, bien que Justin Sun, fondateur de Tron, ait publiquement proposé d'« entamer une discussion » avec le pirate.