Un outil d'IA open source avait alerté de la vulnérabilité de 292 millions de dollars de Kelp DAO il y a 12 jours

BroadChain a appris que le 20 avril à 12h16, selon TechFlow, le 18 avril, Kelp DAO a été victime d'un vol de 292 millions de dollars en raison d'une faille de configuration du pont cross-chain LayerZero, devenant ainsi le plus grand incident de sécurité DeFi à ce jour en 2026. La racine de la vulnérabilité réside dans le fait que son pont OFT utilisait une configuration de nœud de validation DVN 1-sur-1, permettant à l'attaquant de falsifier des messages cross-chain en compromettant un seul nœud, créant ainsi 116 500 rsETH ex nihilo sur le réseau principal Ethereum. Dès le 6 avril, un rapport d'audit open source par IA avait clairement signalé ce risque, soulignant que la configuration DVN était opaque, présentait un point de défaillance unique et que le mode d'attaque était très similaire aux attaques historiques sur les ponts de Ronin et Harmony. Le rapport attribuait un score global de 72/100 (risque moyen), mais reconnaissait que la notation était trop laxiste et n'avait pas élevé le risque du pont cross-chain au niveau "haut risque". Après l'attaque, les rsETH volés ont été utilisés comme garantie pour emprunter environ 236 millions de dollars en WETH sur des protocoles tels qu'Aave et Compound, entraînant une créance douteuse d'environ 177 millions de dollars sur Aave V3 et affectant les détenteurs de rsETH sur plusieurs chaînes ainsi que des utilisateurs de dépôts non liés. Cet incident a mis en lumière les défauts systémiques des protocoles DeFi en matière de configuration d'architecture cross-chain, de zones d'ombre dans la gouvernance et de tarification des risques.