Un outil d'IA open source a alerté 12 jours avant la vulnérabilité de 292 millions de dollars de Kelp DAO

BroadChain a appris que le 20 avril à 18h46, selon PANews, le 18 avril, Kelp DAO a été victime d'un vol de 292 millions de dollars en raison d'une faille de configuration du pont cross-chain LayerZero, devenant ainsi le plus grand incident de sécurité DeFi à ce jour en 2026. La racine de la vulnérabilité réside dans le fait que son pont OFT utilise une configuration de nœud de validation DVN 1-sur-1, permettant à l'attaquant de falsifier des messages cross-chain en compromettant un seul nœud, et de frapper 116 500 rsETH non garantis sur le réseau principal. Le 6 avril, lors de l'évaluation des risques de Kelp à l'aide de son outil d'audit IA open source, l'auteur avait déjà clairement signalé des lacunes d'informations clés telles que "l'opacité de la configuration DVN" et "le risque de défaillance unique sur 16 chaînes", et avait souligné que son architecture était très similaire aux modèles d'attaque historiques des ponts Ronin et Harmony. Après l'attaque, l'attaquant a déposé les rsETH volés comme garantie dans des protocoles tels qu'Aave V3, empruntant environ 236 millions de dollars en WETH, ce qui a généré environ 177 millions de dollars de créances douteuses pour Aave, affectant les détenteurs de rsETH sur plusieurs chaînes et les utilisateurs de protocoles non liés. Cet incident met en lumière les risques systémiques des protocoles DeFi en matière de configuration d'architecture cross-chain et de contrôle de gouvernance, plutôt que de simples vulnérabilités de contrats intelligents.