🔴 hack

Hack Kelp DAO : 291M$ volés, Aave paralysé, 6,2Mds$ retirés

Un exploit sur le bridge Kelp DAO draine 291 millions de dollars et provoque une crise de liquidité sur Aave : 6,2 milliards nets retirés en quelques heures.
📅 lundi 20 avril 2026 ⏱ 2 min de lecture · 12 vues
Hack Kelp DAO : 291M$ volés, Aave paralysé, 6,2Mds$ retirés

Un attaquant a exploité le bridge de Kelp DAO samedi, dérobant 291 millions de dollars en rsETH via une faille sur l'infrastructure LayerZero. En moins de 24 heures, le choc s'est propagé à toute la DeFi.

Le mécanisme est brutal dans sa simplicité. Un message "fantôme" a trompé le bridge de Kelp DAO, forçant la libération de 116 500 rsETH sur Ethereum sans retirer les tokens correspondants en circulation sur la layer-2 Unichain. Les tokens ainsi créés de toutes pièces ont été utilisés comme collatéral sur Aave pour emprunter des actifs réels — WETH, ETH — laissant derrière eux une dette massive et irrecouvrables.

Aave a gelé les marchés liés au rsETH en urgence, mais trop tard. Le taux d'utilisation de son pool principal a atteint 100% : concrètement, les déposants d'ETH et de wrapped ETH n'avaient plus rien à retirer. La panique a fait le reste.

Les utilisateurs coincés ont commencé à emprunter des stablecoins contre leurs dépôts, aggravant encore la pression sur la liquidité — ce que monetsupply.eth, responsable stratégie chez Spark, a qualifié d'"effets secondaires négatifs". Une spirale classique de bank run décentralisé.

Le bilan est sévère. 0xngmi, cofondateur de DefiLlama, a constaté 6,2 milliards de dollars de retraits nets sur Aave seul au petit matin dimanche. D'autres protocoles DeFi non concernés par l'exploit ont aussi subi des sorties massives, la contagion psychologique jouant à plein.

Le token AAVE a chuté de 16% à 90,13$. L'ETH a lâché 2% à 2 300$. Kelp DAO a mis en pause ses contrats rsETH sur le mainnet et plusieurs layer-2 le temps de l'enquête.

Justin Sun, fondateur de Tron, a tenté une négociation publique avec les attaquants sur X, arguant qu'ils peineraient à liquider un tel butin. Une démarche peu convaincante face à l'ampleur des dégâts.

La chercheuse blockchain Stacy Muur pointe un point de défaillance unique dans l'architecture du bridge — une faiblesse structurelle qui aurait dû être anticipée. L'exploit repose sur la possibilité de forger un message de validation sans transaction réelle en face.

Ce que ça change : Le plus gros hack DeFi de l'année expose une vérité que beaucoup préfèrent ignorer — les bridges cross-chain restent le maillon le plus faible de tout l'écosystème. Tant que ces infrastructures reposent sur des points de défaillance uniques, aucun protocole aussi robuste soit-il n'est à l'abri d'une contagion externe. 6,2 milliards retirés d'Aave en une nuit, c'est le prix d'une confiance qui s'évapore instantanément.

🛡️
Après ce hack, protège-toi
Les hacks arrivent tous les jours. Un Ledger garde tes actifs hors de portée des hackers.
Sécurise tes cryptos →
A lire aussi
Vercel : la faille qui menace les secrets de vos projets crypto
hack
Vercel : la faille qui menace les secrets de vos projets crypto
 Drift Protocol : Tether injecte 150M$ et vire l'USDC après le hack
hack
Drift Protocol : Tether injecte 150M$ et vire l'USDC après le hack
 Kelp DAO perd 292M$ dans un hack bridge XXL : la DeFi saigne
hack
Kelp DAO perd 292M$ dans un hack bridge XXL : la DeFi saigne