L'exploit de 292 millions de dollars de Kelp DAO a déclenché une vague de réactions dans l'industrie crypto, les développeurs et traders avertissant que l'incident a exposé des failles plus profondes dans la construction de la finance décentralisée (DeFi / Finance Décentralisée).
Les données partagées par les participants du marché montrent que les retombées immédiates se sont étendues bien au-delà du protocole piraté.
"Le piratage de rsETH entraîne des retraits sur tous les protocoles de prêt, même sur solana et les protocoles non affectés", a déclaré 0xngmi dans un post dimanche, signalant de fortes sorties de fonds, notamment "Aave : -6 200 m (-23 %) d'entrées nettes" et des baisses plus petites mais notables sur Morpho, Sky et JupLend. rsETH est l'ether restaké du protocole de restaking liquide Kelp DAO et est un Liquid Restaking Token (LRT) qui permet aux utilisateurs de gagner des récompenses de staking et de restaking d'ether tout en gardant leurs actifs liquides, même lorsqu'ils sont verrouillés dans le staking.
Cette pression s'est rapidement transformée en quelque chose de plus grave. Un post largement diffusé par Josu San Martin a décrit une pression de liquidité en cascade à l'intérieur des marchés de prêt : "Les déposants ETH ne peuvent pas retirer l'ETH, alors ils empruntent des stablecoins pour 'retirer' des fonds... C'est une véritable ruée sur les retraits sur AAVE."
Alors que Stani Kulechov, le fondateur d'Aave, a déclaré que l'exploit était externe et que les smart contracts du protocole n'avaient pas été compromis, les déposants ont paniqué. La valeur totale verrouillée (ou dépôts) est passée de 26,4 milliards de dollars le 18 avril à près de 20 milliards de dollars dans les heures matinales américaines de dimanche, selon DefiLlama. Le token AAVE a également chuté de plus de 18 % alors que les déposants se précipitaient pour retirer leur argent pendant le week-end.
Prix du token Aave (CoinDesk)Une 'étude de cas'
L'exploit lui-même est devenu un point focal pour les ingénieurs et les développeurs.
Plusieurs développeurs ont repoussé les premières hypothèses selon lesquelles le problème provenait de l'infrastructure de base. "L'exploit de KelpDAO (~290 M$) n'est PAS un bug du protocole LayerZero. C'est un problème de configuration et une étude de cas que chaque projet avec un token cross-chain doit examiner aujourd'hui", indiquait une analyse technique de cryptogoblin.
Le fil a détaillé comment un seul point de vérification a permis l'attaque. "Une signature et 116 500 rsETH ont été matérialisés à partir de rien sur Ethereum", indiquait le post, décrivant un système où "les smart contracts n'étaient pas cassés. C'était la couche de vérification", affirmait le post.
D'autres ont soutenu que le problème était plus profond qu'un simple choix de configuration.
Une critique, qui se fait appeler Fishy Catfish sur X, l'a présenté comme un défaut de conception, alléguant que : "il n'y a pas de niveau de sécurité minimum... Une configuration peut être un DVN 1/1 et le DVN que vous avez choisi peut être un seul nœud géré par une seule entité." Un DVN (Decentralized Verifier Network) dans DeFi / Finance Décentralisée, spécifiquement dans LayerZero V2, est une entité indépendante responsable de la validation et de l'attestation de l'authenticité des messages envoyés entre différents réseaux blockchain. Essentiellement, les DVN vérifient les hachages de messages entre une chaîne source et une chaîne de destination.
Pour clarifier le propos, l'auteur a fait une comparaison avec le monde réel : "imaginez si un fabricant de montagnes russes permettait aux parcs d'attractions de décider individuellement des spécifications de sécurité minimales." Essentiellement, l'auteur dit simplement que la flexibilité sans garde-fous peut créer des risques cachés.
Le post est allé jusqu'à affirmer que la configuration était le problème au sein de la conception. "Je pense personnellement que c'est une conception défaillante. La sécurité modulaire est un espace de conception intéressant, cependant, la gamme de sécurité devrait avoir un niveau de sécurité natif assez solide, puis permettre une superposition *supplémentaire* de sécurité en plus de cela pour les cas d'utilisation de plus grande valeur."
'DeFi / Finance Décentralisée est morte'
Ce n'est pas seulement le montant et la complexité de l'exploit qui ont suscité des critiques sévères et paniquées. L'ampleur de l'exploit a accru les inquiétudes.
Environ 116 500 rsETH, soit environ 18 % de l'offre, ont été affectés. L'attaquant a trompé la couche de messagerie cross-chain de LayerZero en lui faisant croire qu'une instruction valide était arrivée d'un autre réseau, ce qui a déclenché le bridge de Kelp pour libérer 116 500 rsETH vers une adresse contrôlée par l'attaquant.
Les protocoles ont réagi en gelant les marchés et en suspendant les fonctionnalités. Aave a stoppé l'activité rsETH. Lido a suspendu les dépôts liés à l'actif. D'autres projets ont pris des mesures similaires pour limiter l'exposition alors que la situation évoluait.
Au-delà du débat technique, le sentiment dans le monde crypto est devenu fortement négatif. Un post a peut-être capturé le changement d'humeur en termes brutaux : "DeFi / Finance Décentralisée est morte... 'il suffit d'utiliser aave' est mort", tout en ajoutant que "L'ère de la crypto est terminée" et en demandant, "Si vous lisez ceci - pourquoi êtes-vous encore dans la crypto ?"
Bien que la réponse puisse sembler une réaction excessive, ce type de réaction "instinctive" n'est pas inhabituel après de grands exploits, mais l'ampleur de cet événement se démarque.
L'attaque a affecté simultanément l'infrastructure cross-chain, les modèles de restaking et les marchés de prêt. Elle fait également suite à une série d'incidents récents. Le piratage arrive dans une période inhabituellement hostile pour DeFi / Finance Décentralisée, particulièrement ce mois-ci. Le protocole de contrats perpétuels basé sur Solana, Drift, a été vidé d'environ 285 millions de dollars le 1er avril lors d'une attaque plus tard liée à des acteurs affiliés à la Corée du Nord, et au moins une douzaine de protocoles plus petits ont été exploités dans les semaines qui ont suivi, notamment CoW Swap, Zerion, Rhea Finance et Silo Finance.
'Vérifiez vos configurations'
Malgré toutes les explications, il y a encore plus de questions que de réponses.
Même LayerZero essaie toujours de comprendre tous les détails de l'exploit. "Nous sommes pleinement conscients de l'exploit rsETH et avons été en remédiation active avec l'équipe @KelpDAO depuis l'incident et continuons de surveiller. Toutes les autres applications restent sûres", a-t-il déclaré dans un post sur X. "Nous identifions toujours la cause profonde aux côtés de @_SEAL_Org et d'autres. Nous publierons un post-mortem complet avec @KelpDAO dès que nous aurons toutes les informations."
KelpDAO a fait écho à ce sentiment. "Plus tôt aujourd'hui, nous avons identifié une activité cross-chain suspecte impliquant rsETH. Nous avons suspendu les smart contracts rsETH sur le mainnet et plusieurs L2 pendant que nous enquêtons. Nous travaillons avec @LayerZero_Core, @unichain, nos auditeurs et les meilleurs experts en sécurité sur l'analyse des causes profondes. Nous vous tiendrons informés au fur et à mesure que nous en apprendrons davantage sur cette situation."
Pourtant, certains développeurs voient une leçon plus claire dans le chaos.
L'exploit ne reposait pas sur le cassage de chiffrement ou le contournement de smart contracts. Au lieu de cela, il a exposé à quel point les systèmes peuvent devenir fragiles lorsqu'ils dépendent d'hypothèses superposées.
En termes simples, les outils ont fonctionné comme prévu. La façon dont ils ont été configurés ne l'était pas.
Cette distinction peut façonner ce qui vient ensuite. Les constructeurs exhortent maintenant les projets à examiner leurs configurations, en particulier ceux qui s'appuient sur la messagerie cross-chain.
Comme l'a dit cryptogoblin sans détour : "Vérifiez vos configurations. Restez en sécurité là-bas."
Lire la suite : Les rendements DeFi / Finance Décentralisée s'effondrent si fortement qu'ils ne peuvent pas rivaliser avec un compte d'épargne traditionnel
Source : https://www.coindesk.com/news-analysis/2026/04/19/defi-is-dead-crypto-community-scrambles-after-usd292-million-hack-exposes-cross-chain-risks
