Kelp DAO a été attaqué le 18 avril 2026. Des pirates ont réussi à forger 116 500 rsETH non adossés à des actifs réels en compromettant un seul nœud de validation LayerZero. Cet incident a provoqué des pertes totales de plus de 6 milliards de dollars dans l'ensemble de l'industrie DeFi au cours des dernières semaines, les pertes cumulées des différents protocoles approchant les 10 milliards de dollars. Les données on-chain montrent que les capitaux se retirent à un rythme accéléré des protocoles de restaking, de prêt et de ponts cross-chain, la valeur totale bloquée (TVL) dans le DeFi ayant atteint son plus bas niveau depuis 12 mois.
La question centrale de cet incident est de savoir si un seul nœud de validation mal configuré a exposé la vulnérabilité systémique de l'infrastructure DeFi cross-chain. Le pont cross-chain rsETH de Kelp DAO dépendait d'un nœud de réseau de validation décentralisé pour vérifier les messages LayerZero. Cette configuration "1-sur-1" à point unique avait déjà été signalée par la société de sécurité Halborn. L'attaquant (que LayerZero identifie comme le groupe TraderTraitor du groupe nord-coréen Lazarus) a compromis deux nœuds RPC fournissant des données à ce validateur, a lancé une attaque DDoS contre les nœuds de secours pour forcer un basculement, et a finalement injecté des messages frauduleux pour forger une énorme quantité de rsETH.
Les pertes se sont propagées rapidement. Les 116 500 rsETH forgés ont créé des créances douteuses sur les marchés de prêt qui acceptaient ce jeton comme garantie, ce que Halborn décrit comme une "chambre d'écho" de messages falsifiés. Les analyses indiquent que le problème ne réside pas dans l'outil lui-même, mais dans la façon dont il a été configuré. Cela signifie que cette attaque n'a pas exploité une vulnérabilité zero-day, mais une mauvaise configuration déjà signalée. L'architecture de validation à point de défaillance unique est devenue une surface d'attaque évidente.
Les données TVL révèlent la gravité de la fuite des capitaux. Sous pression macroéconomique, le TVL total du DeFi s'était déjà contracté au premier trimestre 2026, et l'incident de Kelp DAO a accéléré cette tendance, provoquant une chute verticale. Les données montrent qu'au cours des 48 heures suivant l'attaque du 18 avril, les sorties de TVL ont atteint 13 milliards de dollars. Parmi elles, le TVL d'Aave est passé de 26,4 milliards de dollars à environ 18 milliards de dollars, car la plateforme a gelé le marché du rsETH et les utilisateurs ont retiré massivement leurs fonds pour éviter les risques potentiels de créances douteuses. L'équipe de risque d'Aave simule actuellement deux scénarios de créances douteuses en fonction du taux de recouvrement des rsETH non garantis utilisés comme garantie.