Des pirates informatiques ont dérobé 292 millions de dollars au protocole Kelp : impact sur le marché et perspectives
Samedi 18 avril 2026, des attaquants inconnus ont vidé près de 300 millions de dollars de l’un des plus grands protocoles cryptographiques — Kelp. Il ne s’agit pas simplement d’un chiffre dans un rapport : des centaines de milliers d’utilisateurs risquent d’avoir perdu l’accès à leurs fonds, tandis que les plateformes de prêt décentralisées font désormais face à un risque de défauts massifs. De tels événements révèlent à quel point même les composants « les plus sûrs » de l’infrastructure crypto peuvent être fragiles.
Qu’est-ce que Kelp — et pourquoi cela compte-t-il ?
Kelp est un protocole de restaking liquide qui permet aux utilisateurs de générer un rendement sur leur Ether (ETH) sans en bloquer entièrement la détention. À la place, il émet un jeton spécial, rsETH, utilisable dans d’autres applications — par exemple pour emprunter ou négocier. C’est comme déposer de l’argent à la banque, mais en recevant une carte de débit utilisable immédiatement, plutôt qu’un livret d’épargne.
Le protocole fonctionne via ce qu’on appelle un pont interchaînes — une technologie permettant le transfert d’actifs entre différentes blockchains (par exemple, depuis Ethereum vers Arbitrum). Ce pont repose sur l’infrastructure LayerZero, largement considérée comme l’une des plus sûres du secteur.
Déroulé de l’attaque
Les attaquants n’ont pas exploité de vulnérabilité dans le code central de Kelp. Ils ont plutôt trompé le système de vérification du pont. Imaginez l’envoi d’un colis de Moscou à Saint-Pétersbourg, où le service de messagerie exige une confirmation de livraison. Les pirates ont falsifié cette confirmation — et le système a libéré automatiquement les marchandises, bien que le colis n’ait jamais été expédié.
Plus précisément : ils ont induit le pont en erreur en lui faisant croire qu’un utilisateur avait « brûlé » des jetons rsETH sur le réseau Arbitrum (une étape qui débloque normalement un montant équivalent de rsETH sur Ethereum). En réalité, aucune opération de brûlage n’a eu lieu. Résultat : 116 500 rsETH — d’une valeur de 292 millions de dollars — ont été retirés des réserves de Kelp.
À noter : avant l’attaque, les pirates avaient acquis un capital initial via Tornado Cash, un service anonymisant les transactions. Cela leur a permis de payer les frais de gaz et d’exécuter une séquence complexe d’opérations.
Les fonds volés ont immédiatement servi de garantie pour de nouveaux prêts
Ce qui est le plus inquiétant, c’est que les pirates n’ont pas simplement dissimulé les actifs dérobés. Ils ont aussitôt utilisé rsETH comme garantie sur des plateformes de prêt populaires :
- Aave V3 — emprunté environ 120 millions de dollars en ETH ;
- Compound V3 et Euler — emprunté environ 116 millions de dollars supplémentaires ;
- La valeur totale empruntée a dépassé 236 millions de dollars.
Ces plateformes n’avaient aucun moyen de savoir que la garantie avait été volée : les oracles (services spécialisés dans l’évaluation des actifs) ont confirmé la valeur de rsETH, et les contrats intelligents ont appliqué leur logique standard. Aave, Compound et autres risquent désormais de perdre des centaines de millions de dollars si les pirates ne remboursent pas — or ils n’ont absolument aucune incitation à le faire.
Réaction de l’écosystème
Quarante-six minutes après l’attaque, l’équipe de Kelp a gelé des contrats clés, empêchant un retrait supplémentaire de 100 millions de dollars. Mais les répercussions s’étaient déjà propagées :
- Aave a suspendu toutes les opérations liées à rsETH ;
- SparkLend et Fluid ont également désactivé le support de ce jeton ;
- Lido Finance a temporairement suspendu son vault earnETH (bien que ses jetons principaux stETH et wstETH restent inchangés) ;
- Ethena a désactivé ses ponts LayerZero pendant six heures.
Les marchés ont réagi instantanément : AAVE a chuté de 18 %, ETH a reculé de 2 %, et stETH a brièvement baissé de 4 %.
Points clés à retenir
- L’attaque ne visait pas des vulnérabilités de code, mais la logique même de l’interopérabilité interchaînes, représentant un nouveau niveau de menace pour la finance décentralisée.
- Les actifs volés ont été transformés en levier pour créer des positions d’endettement, introduisant un risque systémique à travers l’ensemble des protocoles de prêt.
- LayerZero — malgré sa réputation — s’est révélé vulnérable à la manipulation des messages d’attestation.
- Kelp a empêché une deuxième vague d’attaques — mais n’a pas encore annoncé de plan d’indemnisation.
- rsETH reste en circulation — mais la confiance dans ce jeton a été gravement ébranlée.
Ce que cela signifie pour les utilisateurs ordinaires
Si vous détenez des cryptomonnaies dans un portefeuille en libre-service (self-custodied), vos actifs sont sécurisés. En revanche, si vous utilisez des applications DeFi — pour emprunter, staker ou trader via des protocoles — des événements de ce type peuvent impacter la valorisation de vos actifs ou la disponibilité des services. Par exemple, les taux d’emprunt peuvent s’envoler, et certains jetons peuvent perdre temporairement de la valeur. La leçon fondamentale est la suivante : même les protocoles « éprouvés en conditions réelles » reposent sur des interdépendances complexes, et un seul point de défaillance peut déclencher un effet domino.
— Editorial Team