Kelp DAO perd 292 M$ dans la plus grosse faille crypto 2026

Le 18 avril 2026, Kelp DAO a subi ce que Chainalysis et Coindesk ont qualifié de plus grande exploitation crypto de l'année : un attaquant a drainé 116 500 rsETH — soit environ 292 millions de dollars aux prix en vigueur — depuis un pont alimenté par LayerZero, laissant de l'ether enveloppé bloqué sur 20 chaînes et provoquant des gels d'urgence dans d'importants marchés de prêt. La quantité volée représentait environ 18 % de l'offre en circulation de rsETH, une concentration de risque qui a forcé des interventions rapides au niveau des protocoles chez Aave, SparkLend, Fluid et Upshift (Coindesk, 18 avr. 2026). L'incident met en lumière la vulnérabilité renouvelée des couches de messagerie inter-chaînes et de composition qui sous-tendent la DeFi moderne, soulevant des questions sur la sécurité des oracles/cross-chain et la gestion de la liquidité à grande échelle. Les desks de trading, les dépositaires et les contreparties institutionnelles ont rééquilibré leurs expositions aux actifs natifs enveloppés en l'espace de quelques heures, et les indicateurs on-chain ont montré une volatilité intrajournalière marquée sur le rsETH et les paires liées à l'ether enveloppé. Ce rapport présente une analyse axée sur les données de l'exploitation, la réaction immédiate du marché, les implications sectorielles et des considérations prospectives de risque pour les parties prenantes institutionnelles.

Context

L'exploitation a ciblé la logique de règlement du pont de Kelp DAO activée par LayerZero le 18 avril 2026, selon les reportages de Coindesk. LayerZero est un protocole de messagerie inter-chaînes largement utilisé qui permet aux actifs de se déplacer et d'être représentés sur plusieurs blockchains. L'attaquant a extrait 116 500 rsETH, un chiffre que Coindesk a estimé à environ 292 millions de dollars ; cette quantité représentait environ 18 % de l'offre en circulation de rsETH, impliquant une offre totale en circulation estimée près de 647 200 tokens. La concentration de tokens au sein d'un pont composable a exposé un risque systémique de liquidité parce que les tokens enveloppés sur une chaîne sont souvent réutilisés comme collatéral ou liquidité sur d'autres chaînes.

Les ponts inter-chaînes ont été une source récurrente d'incidents systémiques : l'exploitation de Wormhole en 2022 a coûté environ 320 millions de dollars, tandis que des échecs historiques comme le hack du DAO de 2016 étaient plus petits en termes monétaires mais ont servi de moments charnières pour la gouvernance des risques protocolaires. Comparée à ces événements, la perte de 292 millions de dollars chez Kelp se classe parmi les violations d'un seul protocole les plus importantes en valeur au cours de la dernière demi-décennie et constitue la faille la plus significative enregistrée en 2026 jusqu'à la mi-avril. Les contreparties institutionnelles et les brokers primes traitant l'ether enveloppé et les créances natives de pont comme équivalents à l'ETH spot ont subi une reclassification soudaine des risques de contrepartie et de garde.

Les réponses des protocoles ont été rapides et inégales. Aave, SparkLend, Fluid et Upshift ont gelé certains marchés pour prévenir des cascades de liquidations et arrêter la propagation de liquidité contaminée, reflétant un playbook opérationnel qui priorise la stabilité du marché sur la composabilité. Les gels et les interventions au niveau admin ont préservé la solvabilité nominale des grands prêteurs mais ont introduit de l'incertitude autour de la fongibilité des actifs, de la provenance cross-chain et de la fiabilité des mécanismes automatiques de liquidation. Pour les institutions, ces événements soulignent l'importance de limites d'exposition dynamiques, d'une due diligence sur les contreparties et de la capacité forensique on-chain pour tracer la provenance des actifs enveloppés.

Data Deep Dive

Les chiffres bruts du reportage de Coindesk établissent l'échelle et la portée de l'exploitation : 116 500 rsETH volés, 292 millions de dollars en valeur, des tokens bloqués sur 20 chaînes distinctes, et des gels d'urgence chez quatre protocoles de prêt nommés (Coindesk, 18 avr. 2026). L'empreinte cross-chain — 20 chaînes — est notable car elle multiplie les canaux de garde et de liquidité ; chaque chaîne représente une piscine distincte de contreparties, de profondeur de liquidité AMM et de dépendances d'oracle. L'action de l'attaquant a entraîné une fragmentation de la liquidité, avec des glissements de prix enregistrés sur plusieurs paires DEX où rsETH ou des dérivés d'ETH enveloppé étaient utilisés comme actifs de base. Les métriques on-chain issues des explorateurs de blockchain ont montré un pic d'activité de transferts on-chain et des augmentations nettes de la consommation de gas sur les chaînes affectées dans les heures suivant l'exécution de l'exploitation.

Les effets sur la microstructure du marché ont été immédiats : les fournisseurs de liquidité ont retiré de la profondeur des paires rsETH, des réserves en stablecoins ont été déployées pour absorber la volatilité dans les marchés synthétiques d'ETH, et les écarts de base implicites pour les produits dérivés se sont significativement élargis. Par exemple, des desks surveillant les funding rates ont rapporté un élargissement du basis futures pour les produits libellés en ETH par rapport au spot de plusieurs centaines de points de base intrajournaliers, reflétant une prime de liquidité contrepartie élevée. Les marchés secondaires pour des protocoles fortement exposés au rsETH ont vu la volatilité au niveau token augmenter ; bien que les chiffres précis de volatilité varient selon la chaîne et la paire, la volatilité réalisée à court terme pour certaines paires rsETH a grimpé à des multiples de 7 à 10 fois les plages intrajournalières normales dans les 12 premières heures.

D'un point de vue forensique, les mouvements on-chain de l'attaquant indiquaient un schéma de séparation rapide et de dispersion à travers de multiples points de relais de pont, compliquant le traçage et la récupération. La stratégie de dispersion cross-chain est une tactique connue pour obscurcir la provenance et exploiter la fragmentation juridictionnelle et technique dans les efforts de récupération. Cette stratégie a aussi augmenté la charge opérationnelle des dépositaires et relayers pour coordonner les gels et identifier les fonds contaminés. Les analystes comparant les flux on-chain aux précédentes exploitations de ponts ont noté que la vitesse de dispersion et l'étendue sur 20 chaînes figuraient parmi les principales raisons pour lesquelles cet événement a dégénéré en incident de stabilité de marché plutôt qu'en simple brèche isolée d'un protocole.

Sector Implications

L'exploitation devrait probablement provoquer une recalibration des modèles de risque sur l'ensemble de la pile d'infrastructures DeFi. Les ponts et les couches de messagerie inter-chaînes sont au cœur du multiplexage de la liquidité des tokens ; une seule grande exploitation qui rompt ce multiplexage peut créer des chocs de liquidité corrélés à travers des protocoles apparemment non connectés. Les acteurs institutionnels qui avaient modélisé les actifs natifs enveloppés comme équivalents fongibles à l'ETH natif ont subi une reclassification soudaine des risques de contrepartie et de conservation.