Kelp DAO : 220 M$ blanchis, la fenêtre de récupération se ferme
Il ne reste que 1,7 million de dollars dans le wallet de l'exploiteur de Kelp DAO. Il y a deux mois, ce même portefeuille pesait 220 millions de dollars. Le reste a disparu dans un empilement de mixeurs, de bridges et de protocoles de confidentialité que même les meilleurs traceurs on-chain ne peuvent plus démêler. La fenêtre de récupération ne se ferme pas — elle est fermée.
Ce qui s'est passé, dans l'ordre
Pour comprendre ce dénouement, il faut revenir au 20 avril, jour où le Security Council d'Arbitrum a gelé 30 766 ETH, soit environ 71 millions de dollars, appartenant à l'exploiteur. Une réaction rapide, une décision rare dans l'écosystème DeFi — mais qui n'a concerné qu'une fraction de l'ensemble du butin. Dès le lendemain, le 21 avril, le hacker a visiblement compris que le temps jouait contre lui. En trois transactions, il a poussé 75 701 ETH — environ 175 millions de dollars — vers des adresses Ethereum fraîchement créées : 50 700 ETH dans deux nouveaux wallets, 25 000 ETH dans un troisième.
Le blanchiment a ensuite suivi une logique en deux couches documentée par l'analyste on-chain Specter : de l'ether bridgé vers Bitcoin via le mixeur Wasabi CoinJoin, puis rapatrié vers Ethereum à travers des cycles de dépôt et retrait sur Tornado Cash. Entre-temps, les premiers mouvements cross-chain avaient déjà alerté ZachXBT : trois transactions sur THORChain pour environ 1,5 million de dollars et un virement de 78 000 dollars via Umbra, le protocole de confidentialité Ethereum. L'afflux a été suffisamment massif pour propulser le volume quotidien de THORChain à 394 millions de dollars, soit plus de dix fois son activité normale. Les cabinets PeckShield et Cyvers estiment qu'environ 176 millions de dollars ont transité par le corridor THORChain-Umbra-BitTorrent lors de cette première vague.
Détail qui ne surprend personne dans le milieu : le gas initial ayant financé les transactions de l'exploiteur provenait lui-même de Tornado Cash, déposé environ dix heures avant le drain du bridge. Une signature opérationnelle que Cyvers a identifiée comme typique du groupe TraderTraitor — aussi connu sous le nom UNC4899, rattaché au Lazarus Group nord-coréen. Ce n'est pas une supposition : le rapport d'incident de LayerZero publié le 18 mai, co-préparé avec Mandiant, CrowdStrike et zeroShadow, attribue formellement l'attaque à cet acteur étatique, le même équipage impliqué dans le vol parallèle de 285 millions de dollars sur Drift la même semaine.
Ce que l'exploit dit de la DeFi — et pas seulement de Kelp
L'exploit lui-même est documenté. La faille n'était pas dans LayerZero en tant que protocole, mais dans la configuration de Kelp DAO : un seul DVN (Decentralized Verifier Network) utilisé comme unique chemin de vérification, malgré des avertissements explicites contre cette pratique. LayerZero a depuis imposé une configuration 3-of-3 DVN par défaut. Kelp a migré son bridge rsETH vers Chainlink CCIP. D'autres protocoles ont suivi dans la foulée — Solv Protocol et Tydro ont tous deux opéré la même migration dans les trois semaines suivant l'exploit.
Cette vague de migrations illustre un phénomène récurrent dans la DeFi : ce sont toujours les catastrophes qui accélèrent les standards de sécurité. Avant l'exploit Kelp, combien de protocoles avaient sérieusement audité leur configuration DVN ? La réponse est dans les chiffres : en mai, les pertes liées aux exploits crypto ont chuté à 68,3 millions de dollars, soit une baisse de près de 90 % par rapport à avril selon CertiK. Bon signe ? Peut-être. Mais avril avait été catastrophique précisément à cause de Kelp, et ce chiffre flatteur masque une réalité plus sombre : quand les fonds partent, ils ne reviennent généralement pas.
La résolution côté utilisateurs a été gérée séparément et plutôt bien exécutée. Le consortium DeFi United — réunissant Aave, Karak, EigenLayer et Kelp — a restauré environ 116 000 rsETH aux utilisateurs affectés. La dette de 190 millions de dollars accumulée sur Aave, après que l'attaquant a utilisé des rsETH volés comme collatéral, a été absorbée par le module de sécurité d'Aave. Kelp a rouvert l'intégralité des fonctionnalités rsETH fin mai. Du point de vue des utilisateurs lésés, c'est une issue relativement honorable dans un secteur où les victimes finissent souvent avec zéro.
Les 71 millions restants : une bataille juridique, pas technique
Mais les 71 millions d'ETH gelés sur Arbitrum ne sont pas simplement en attente de restitution. Deux avocats représentant des familles américaines titulaires de jugements non exécutés contre la Corée du Nord — des indemnisations liées au terrorisme totalisant 877 millions de dollars — ont obtenu le 1er mai une ordonnance du tribunal fédéral du district sud de New York, bloquant tout mouvement des 30 766 ETH par l'Arbitrum DAO. Ce n'est plus un problème de traçage on-chain : c'est une procédure de forfeiture qui se jouera dans les tribunaux américains, avec la Corée du Nord comme ombre portée sur le dossier.
Chainalysis le rappelle sans ambages : les acteurs liés à la DPRK ont volé 2,02 milliards de dollars en crypto en 2025 uniquement, portant leur total cumulé à 6,75 milliards de dollars. Récupérer quoi que ce soit sur ces sommes ne passe plus par le traçage de portefeuilles — ça passe par la pression diplomatique, les sanctions du Trésor américain, et des gels coordonnés comme ceux que Tether applique sur les wallets USDT signalés. Des outils puissants, mais lents, et qui n'ont jamais restitué grand-chose aux victimes directes.
Le dossier Kelp DAO commence comme une erreur de configuration. Il se termine comme un cas d'école sur pourquoi les 220 millions blanchis ne réapparaîtront jamais — et pourquoi les 71 millions restants sont désormais l'enjeu d'une guerre juridique entre Arbitrum DAO, des familles de victimes du terrorisme nord-coréen et un État qui n'a aucune intention de coopérer.
