BroadChain a appris que le 24 avril à 04:16, le pont inter-chaînes rsETH de Kelp DAO basé sur LayerZero a été compromis aux premières heures du 19 avril. 116 500 rsETH (environ 292 millions de dollars) ont été drainés du réseau principal sans enregistrement de brûlage correspondant. L'attaquant a contourné la logique de validation lzReceive et a forgé des messages inter-chaînes pour déclencher directement la libération des réserves. Kelp a suspendu le contrat en une heure, mais si une attaque supplémentaire avait réussi, la perte totale aurait atteint 391 millions de dollars.
La cause profonde de cette attaque réside dans l'utilisation par Kelp de la configuration de sécurité la plus faible de LayerZero — 1/1 DVN, où une seule signature de validateur suffit pour approuver. Shalev Keren, co-fondateur de la société de cryptographie Sodot, a souligné qu'il s'agit d'un "point de défaillance unique" qui ne peut être corrigé par un audit. Dès janvier 2025, une équipe avait alerté sur le forum de gouvernance d'Aave pour étendre la validation à plusieurs DVN, mais cela n'a pas été mis en œuvre après 15 mois. LayerZero a déclaré par la suite avoir exhorté à plusieurs reprises à une mise à niveau et a annoncé qu'il cesserait d'approuver les messages pour les applications à validateur unique.
L'attaquant a déposé les rsETH volés sur des plateformes de prêt comme Aave et Compound, empruntant plus de 236 millions de dollars en actifs réels. Le gel du marché par Aave a déclenché une vague de retraits de plus de 10 milliards de dollars, et au moins neuf protocoles, dont Fluid, Upshift et Lido Earn, ont activé des réponses d'urgence. SparkLend avait déjà retiré rsETH en janvier 2026, mettant en évidence la divergence de perception des risques pour les actifs de type LRT dans l'industrie.
LayerZero a attribué l'attaque au groupe Lazarus de Corée du Nord, mais Cyvers n'a pas suivi cette conclusion en raison de la difficulté à recueillir des preuves après que le logiciel malveillant du nœud a automatiquement effacé les traces. Les deux incidents (Drift Protocol ayant perdu 285 millions de dollars il y a trois semaines) montrent que le cadre de sécurité existant de DeFi ne peut plus faire face aux menaces actuelles. L'industrie doit procéder à des mises à niveau systémiques en matière de conception de protocoles, de gestion des risques liés aux garanties, de sécurité opérationnelle et de partage de renseignements.