En bref

  • 116 500 rsETH (≈ 292 millions de dollars) ont été drainés du bridge Kelp DAO via LayerZero le 18 avril 2026 à 17:35 UTC.
  • LayerZero impute l'exploit au groupe nord-coréen Lazarus, après compromission de deux nœuds RPC suivie d'une attaque DDoS de bascule.
  • Plus gros exploit DeFi de 2026, soit 18 % de l'offre rsETH ; les contrats ont été gelés en 46 minutes par un multisig d'urgence.

Ce qui s'est passé

Selon les analyses de The Block, CoinDesk et Unchained, l'attaquant a manipulé la couche de messagerie cross-chain de LayerZero pour faire croire qu'une instruction valide arrivait d'un autre réseau. Le bridge Kelp a alors libéré 116 500 rsETH vers une adresse contrôlée par l'attaquant. Les fonds restent éparpillés sur une vingtaine de chaînes, ce qui complique le blanchiment mais aussi la récupération.

D'après LayerZero, les attaquants ont compromis deux nœuds RPC et déclenché un DDoS pour forcer la bascule (failover) vers un vérificateur sous leur contrôle, validant ainsi une transaction frauduleuse. Le multisig d'urgence Kelp a gelé les contrats clés à 18:21 UTC, bloquant deux tentatives supplémentaires de drain qui auraient creusé les pertes.

Une polémique oppose les deux protocoles : LayerZero pointe le choix de Kelp d'utiliser un vérificateur unique malgré ses recommandations multi-vérificateurs, tandis que Kelp DAO réplique que cette configuration s'appuyait sur l'infrastructure et les valeurs par défaut de LayerZero, et non sur un choix marginal contraire aux conseils.

Pourquoi c'est important

L'incident dépasse l'exploit Drift de quelques millions et devient le plus gros vol DeFi de 2026, alimentant un sentiment de « DeFi is dead » dans la communauté crypto. Pour les acteurs régulés, il rappelle que les bridges cross-chain restent le maillon faible : un seul vérificateur compromis suffit à valider des transactions frauduleuses portant sur des centaines de millions.

L'attribution préliminaire au groupe Lazarus, sponsorisé par Pyongyang, alimente aussi le débat sur l'efficacité des sanctions OFAC contre les portefeuilles nord-coréens. Sur les douze derniers mois, Lazarus aurait orchestré la majorité des hacks DeFi à plus de 100 M$, finançant directement le programme balistique nord-coréen selon les rapports de Chainalysis et du Trésor américain.

Ce qu'il faut retenir

  • Les bridges cross-chain en single-verifier doivent migrer vers une configuration multi-vérificateurs pour réduire le risque de transaction frauduleuse.
  • Les protocoles DeFi devraient documenter publiquement leurs paramètres de sécurité par défaut pour éviter les disputes post-mortem du type Kelp/LayerZero.
  • Les exchanges doivent renforcer le filtrage des adresses associées à Lazarus, en particulier sur les rsETH wrappés issus de cet exploit.

Pourquoi un attaquant peut-il forcer le failover d'un vérificateur LayerZero ?

Si le vérificateur principal devient injoignable (par exemple sous DDoS), LayerZero bascule sur un vérificateur de secours. Quand l'attaquant contrôle déjà deux nœuds RPC et le vérificateur de secours, la bascule l'autorise à signer une transaction frauduleuse perçue comme légitime par le bridge cible.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact