Kelp DAO fait face à une grave crise de sécurité après qu’une exploitation apparente de son pont cross‑chain rsETH a siphonné environ 116 500 rsETH, d’une valeur d’environ 292 millions de dollars au moment de l’attaque. D’après les rapports et les données on‑chain, l’attaquant semble avoir utilisé la messagerie LayerZero pour déclencher le transfert de fonds depuis le système de pont de Kelp DAO. L’incident s’est rapidement propagé sur les marchés cryptographiques car le rsETH est largement utilisé dans la DeFi, notamment comme garantie sur les plateformes de prêt.
Le cas est important parce que le rsETH est un token de restaking liquide. Cela signifie que les utilisateurs déposent des actifs liés au staking d’Ethereum et reçoivent un token qu’ils peuvent déplacer, échanger ou utiliser dans la DeFi tout en conservant une exposition au staking. Kelp DAO a créé le rsETH pour fonctionner sur de nombreuses blockchains, et c’est là que le risque a grandi. Le standard OFT de LayerZero, ou Omnichain Fungible Token, est conçu pour déplacer un même token à travers plusieurs chaînes tout en conservant une offre partagée. Cela simplifie l’utilisation cross‑chain, mais implique également que la sécurité du pont devienne centrale pour la sûreté du token.
Les rapports indiquent que la première vidange réussie a eu lieu à 17 h 35 UTC. Kelp DAO a alors utilisé son multisig d’arrêt d’urgence environ 46 minutes plus tard pour geler les contrats principaux. Cette pause semble avoir bloqué deux tentatives ultérieures de siphonnage de 40 000 rsETH supplémentaires. Kelp a déclaré avoir identifié une activité cross‑chain suspecte et travaillait avec LayerZero, Unichain, des auditeurs et des experts externes en sécurité pour enquêter sur la cause profonde. En termes simples, l’attaque semble avoir visé la logique du pont qui permet au rsETH de circuler entre les réseaux, et non un portefeuille ordinaire ou un simple bug d’interface.
L’attaque a également suscité des inquiétudes parce que le portefeuille lié à l’exploitation aurait été financé via Tornado Cash avant l’incident. Dans les exploits DeFi, cela indique souvent une tentative de dissimuler la traçabilité des fonds. L’enquêteur blockchain ZachXBT a signalé l’attaque peu après son déclenchement, et les observateurs du marché ont commencé à s’interroger sur la part de l’offre de rsETH affectée. Les rapports indiquaient que le montant volé représentait environ 18 % du rsETH en circulation, un pourcentage suffisant pour créer une pression sur les marchés de prêt, les flux de prix et les systèmes de risque.
C’est pourquoi Aave a réagi rapidement. Aave a gelé les marchés rsETH sur V3 et V4 et a affirmé que ses propres contrats intelligents n’étaient pas à l’origine de l’exploitation. Le problème majeur pour Aave est la dette mauvaise. Dans le prêt, une dette mauvaise peut apparaître lorsque la garantie perd de la valeur ou ne peut être liquidée à temps. La documentation d’Aave indique que le risque de pont et le risque de réseau peuvent alimenter ce problème. Son système Umbrella a été construit comme un outil de gestion de risque automatisé on‑chain destiné à aider à couvrir les déficits, bien qu’Aave ait ensuite adouci sa formulation publique et déclaré qu’il explorerait des moyens de compenser tout déficit lié à cet événement.
Ce n’est pas non plus le premier problème lié au rsETH. Kelp DAO a connu un autre incident en avril 2025, lorsqu’il a suspendu les dépôts et retraits après qu’un bug dans le contrat de frais a entraîné une création excessive de rsETH. Kelp avait indiqué qu’aucun fonds d’utilisateur n’avait été perdu dans ce cas précédent, mais la nouvelle exploitation est bien plus grave car elle implique une perte directe de fonds à grande échelle. Cet historique compte. Dans le monde crypto, un incident peut être considéré comme une simple erreur. Deux incidents en un an soulèvent des questions plus sérieuses sur la conception, les tests et les contrôles opérationnels.
La leçon principale de l’exploitation de Kelp DAO est que le risque en DeFi ne s’arrête pas à un seul protocole. Une attaque de pont peut toucher un token, se propager aux marchés de prêt, puis affecter des utilisateurs qui n’ont jamais interagi avec le pont. C’est le coût caché de la composabilité. Des systèmes comme Kelp DAO, LayerZero et Aave sont conçus pour connecter les marchés cryptographiques, mais des connexions fortes entraînent également un stress plus rapide lorsqu’un maillon se rompt. Pour les utilisateurs, l’exploitation de Kelp DAO rappelle que les tokens de restaking liquides, les tokens cross‑chain et les rendements DeFi offrent une flexibilité, mais ajoutent aussi des couches de risque de contrats intelligents, de ponts et de garanties qui peuvent échouer simultanément.
