BroadChain a appris que le 24 avril à 15h06, le 18 avril 2026, un attaquant a dérobé 116 500 rsETH depuis le pont inter-chaînes de KelpDAO en 46 minutes, d'une valeur d'environ 292 millions de dollars, devenant ainsi le plus grand incident de sécurité DeFi de l'année. Les jetons volés ont été déposés en garantie dans des protocoles tels que Aave V3, permettant d'emprunter environ 236 millions de dollars en ETH, entraînant une perte de 177 à 200 millions de dollars pour Aave et une évaporation d'environ 6 milliards de dollars en TVL. Cet article analyse la responsabilité du point de vue du droit civil, estimant que KelpDAO et LayerZero Labs devraient assumer une responsabilité conjointe pour faute, à hauteur d'environ 60 % et 40 %.
KelpDAO a choisi la configuration DVN la plus basse recommandée par LayerZero, soit 1-of-1, ne dépendant que d'un seul validateur, alors que LayerZero recommande explicitement au moins 2-of-3. Ce point de défaillance unique protégeait environ 1,6 milliard de dollars d'actifs, équivalent à protéger un coffre-fort avec un cadenas. Selon le droit de la responsabilité délictuelle, le coût de prévention (B) est bien inférieur à la probabilité de dommage (P) multipliée par l'ampleur du dommage (L), constituant une négligence. Des pairs du secteur comme SparkLend et Fluid ont fixé le LTV du rsETH à 72 % et 75 % respectivement, bien en dessous des 93 % d'Aave, montrant une vigilance face aux risques de pont.
L'infrastructure DVN exploitée par LayerZero a été victime d'une attaque par empoisonnement RPC, où l'attaquant a falsifié la validation en remplaçant des fichiers binaires, en trompant sélectivement et en basculant via DDoS. L'empoisonnement RPC est un vecteur d'attaque connu, et LayerZero, en tant qu'exploitant d'infrastructure, aurait dû mettre en œuvre des contre-mesures telles que la validation croisée et la détection d'anomalies. Le principe des obligations non déléguables exige qu'il ne puisse pas se décharger de sa responsabilité en invoquant le fournisseur RPC. L'attaque du protocole Drift (285 millions de dollars, le 1er avril) a fourni un avis constructif, renforçant la constatation de négligence.
Sous une causalité conjointe, la configuration de KelpDAO et l'échec de LayerZero sont tous deux des conditions nécessaires. La répartition des fautes repose sur trois points : KelpDAO a activement choisi la configuration la plus basse, LayerZero n'a pas défendu contre les menaces connues, et le comportement de l'attaquant n'interrompt pas la chaîne causale. Les clauses de limitation de responsabilité dans les conditions de service du protocole pourraient être inapplicables en raison de leur violation de l'ordre public.