Kelp DAO a publiquement contesté un rapport qualifiant l'incident du bridge rsETH d'exploitation, arguant que les paramètres par défaut de LayerZero, et non une attaque délibérée, étaient responsables d'une perte signalée de 290 millions de dollars. Le différend recadre l'incident du 18 avril d'une exploitation externe à un échec de configuration d'infrastructure.
Ce que le rapport sur l'attaque du bridge rsETH affirmait
Ce qui aurait été perdu
Une évaluation de sécurité publiée par CredShields a décrit l'incident du bridge rsETH comme une exploitation impliquant l'infrastructure de bridge cross-chain de Kelp DAO, citant environ 290 millions de dollars de pertes. Le rapport utilisait un langage cohérent avec une attaque externe délibérée.
Pourquoi l'incident a été décrit comme une attaque de bridge
Le rapport CredShields a cadré l'événement en utilisant une terminologie d'exploitation, impliquant qu'un acteur malveillant a identifié et exploité une vulnérabilité dans le mécanisme du bridge. Cette caractérisation a positionné l'incident aux côtés d'autres piratages de bridge DeFi de haut profil plutôt que de le traiter comme un échec opérationnel.
Cependant, la formulation du titre lui-même signale une caractérisation contestée. La réponse de Kelp DAO, documentée dans un fil de gouvernance Aave, conteste directement l'interprétation axée sur l'exploitation.
Pourquoi Kelp DAO conteste le récit d'attaque
La réfutation centrale de Kelp DAO
La contre-position de Kelp DAO, présentée dans la discussion de gouvernance Aave, rejette entièrement l'étiquette d'attaque. Le protocole maintient que la perte résultait de la façon dont les paramètres par défaut de messagerie cross-chain de LayerZero étaient configurés, et non d'un adversaire découvrant un nouveau vecteur d'exploitation.
Ce n'est pas une distinction sémantique mineure. Qualifier un incident d'attaque implique une négligence en matière de sécurité dans la défense contre les menaces externes. Le qualifier d'échec de configuration transfère la responsabilité vers les paramètres par défaut de l'infrastructure et les choix d'intégration.
Quelles parties du rapport sont contestées
Kelp DAO conteste à la fois le mécanisme de causalité et le récit implicite. Le protocole ne conteste pas que des pertes se sont produites, mais il conteste la caractérisation par CredShields de comment et pourquoi ces pertes se sont produites.
Le conflit est spécifique : le rapport CredShields attribue la causalité à un vecteur d'exploitation, tandis que la réfutation de gouvernance de Kelp DAO attribue la causalité aux paramètres par défaut de LayerZero qui étaient insuffisants pour la valeur sécurisée.
Comment les paramètres par défaut de LayerZero sont devenus le point focal
Le rôle des paramètres par défaut dans la version des événements de Kelp DAO
Selon le compte rendu de Kelp DAO dans le fil de gouvernance, les paramètres par défaut de LayerZero pour la vérification des messages cross-chain manquaient des garanties de sécurité nécessaires pour les actifs de grande valeur pontés. Le protocole soutient que ces paramètres d'usine ont créé les conditions de la perte sans nécessiter une exploitation sophistiquée.
Les paramètres par défaut dans la messagerie cross-chain déterminent comment les transactions sont validées à travers les réseaux. S'ils restent inchangés, ils peuvent appliquer le même seuil de vérification à un transfert de 100 $ et à un transfert de 100 millions de dollars, créant un risque proportionnel à la valeur sans sécurité proportionnelle.
Pourquoi un problème de configuration diffère d'une revendication d'attaque
Si le cadrage de Kelp DAO se confirme, l'incident devient une question de responsabilité partagée entre les protocoles qui construisent sur l'infrastructure cross-chain et les couches de messagerie dont ils dépendent. C'est fondamentalement différent d'un scénario où un attaquant externe a trouvé une vulnérabilité zero-day.
Un rapport séparé notant la reconnaissance par LayerZero du groupe Lazarus comme acteur probable dans des incidents cross-chain connexes ajoute de la complexité. L'existence d'acteurs de menace au niveau étatique ciblant l'infrastructure de bridge ne valide pas automatiquement le cadrage d'exploitation ou de configuration pour cet incident spécifique.
Ce que la perte de 290 millions de dollars signifie pour rsETH et le risque DeFi
Pourquoi le chiffre de 290 millions de dollars est important
La perte signalée place cet incident parmi les plus importants incidents DeFi en 2026. Pour les détenteurs de rsETH et les protocoles avec une exposition rsETH, la détermination de la cause profonde affecte directement les attentes de récupération, les réclamations d'assurance et la confiance dans l'actif à l'avenir.
La discussion de gouvernance Aave reflète comment les protocoles en aval réévaluent l'exposition aux jetons de liquid restaking. Lorsqu'un incident de bridge de cette ampleur se produit, les contreparties doivent évaluer si l'infrastructure de l'actif sous-jacent répond à leurs normes de risque, une préoccupation similaire à celles soulevées lorsque les institutions détiennent des positions ETH importantes dans des arrangements de garde complexes.
Questions que les détenteurs de rsETH et les contreparties poseront ensuite
Le différend de classification a des conséquences pratiques. Si l'incident est jugé comme un échec de configuration, la responsabilité peut incomber en partie à LayerZero pour des paramètres par défaut inadéquats et en partie à Kelp DAO pour ne pas les avoir remplacés. S'il est jugé comme une exploitation, Kelp DAO fait face à un examen plus approfondi de la conception de la sécurité du bridge.
Les projets construisant des fonctionnalités cross-chain, y compris ceux qui recherchent un nouveau financement pour le développement de l'infrastructure, feront face à des questions plus difficiles concernant leurs configurations de couche de messagerie. L'incident met en évidence une lacune dans les normes de sécurité DeFi : aucune exigence à l'échelle de l'industrie ne mandate actuellement que les protocoles remplacent les paramètres par défaut du bridge avant de mettre en ligne des fonds utilisateurs.
Pour les protocoles préoccupés par une gouvernance responsable et la transparence, le différend souligne que la classification des incidents n'est pas simplement académique. Elle détermine qui paie, qui reconstruit la confiance et ce qui change dans la façon dont l'infrastructure cross-chain est déployée.
FAQ sur l'incident Kelp DAO et rsETH
Kelp DAO a-t-il confirmé une attaque du bridge rsETH ?
Non. Kelp DAO conteste explicitement la caractérisation d'« attaque » dans le fil de gouvernance Aave, arguant que la perte résultait des paramètres de configuration par défaut de LayerZero plutôt que d'une exploitation délibérée par un attaquant externe.
Qu'est-ce que Kelp DAO a blâmé pour la perte de 290 millions de dollars ?
Kelp DAO a pointé les paramètres par défaut de LayerZero pour la vérification des messages cross-chain, affirmant que ces paramètres par défaut étaient inadéquats pour sécuriser la valeur transitant par le bridge.
Pourquoi les paramètres par défaut de LayerZero sont-ils au centre du différend ?
Les paramètres par défaut déterminent comment les messages cross-chain sont validés. Kelp DAO soutient que les paramètres par défaut inchangés ont créé une faille de sécurité qui a conduit à la perte, en faisant une question de responsabilité de configuration plutôt qu'une nouvelle exploitation.
Est-ce cadré comme un piratage ou un problème de configuration ?
Les deux cadrages existent dans les archives publiques. Le rapport CredShields utilise un langage d'exploitation, tandis que la réfutation de gouvernance de Kelp DAO attribue la perte aux paramètres par défaut. La classification reste contestée en avril 2026.
Clause de non-responsabilité : Cet article est uniquement à des fins informatives et ne constitue pas un conseil financier ou d'investissement. Les marchés des cryptomonnaies et des actifs numériques comportent des risques importants. Faites toujours vos propres recherches avant de prendre des décisions.
Source : https://coincu.com/defi/kelp-dao-rseth-bridge-attack-report-layerzero-290m-loss/
