Samedi, un pirate informatique a approvisionné son portefeuille via Tornado Cash , a attendu 10 heures, puis a exécuté une transaction qui a détourné 292 millions de dollars de KelpDAO.
Quand quelqu'un s'en est aperçu, l'argent avait disparu. Et quand KelpDAO a fait une pause, deux autres tentatives avaient échoué en quelques minutes.
Le pirate informatique de KelpDAO voulait dérober 391 millions de dollars
Le portefeuille ayant mené l'attaque a été alimenté par le pool de 1 ETH de Tornado Cash. Il s'agit d'une étape d'obfuscation standard qui a permis d'initialiser l'adresse avec des fonds propres pour les frais de gaz.
Le portefeuille appelé lzReceive sur letracEndpointV2 de LayerZero et le pont OFT de KelpDAO ont transféré 116 500 rsETH vers une adresse d'attaquant distincte. Le vol a été effectué en une seule transaction.
Ce qui suivit démontra la fragilité de la situation. L'attaquant récidiva à deux reprises. Deux autres paquets LayerZero ont atteint le pont, chacun visant 40 000 rsETH, soit environ 100 millions de dollars au total. Les deux tentatives ont échoué.
Cinq minutes auparavant, la commande multisignature d'urgence de Kelp avait déclenché la pause « pauseAll ». Cette commande a gelé le pool de dépôts LRT, letracde retrait, l'oracle LRT et le jeton rsETH. L'intervalle entre la vidange réussie et la pause était de 46 minutes. L'intervalle entre la pause et la tentative d'attaque suivante était de cinq minutes.
Les pertes totales de KelpDAO auraient été d'environ 391 millions de dollars si les deuxième et troisième tentatives de l'attaquant avaient réussi.
L'attaquant déclenche la dette irrécouvrable Aave
Les 116 500 jetons rsETH valaient environ 292 millions de dollars au cours actuel. Ce montant représente environ 18 % de l'offre en circulation de rsETH, qui est d'environ 630 000.
rsETH est un jeton de restaking liquide construit sur EigenLayer et déployé sur plus de 20 réseaux, dont Base, Arbitrum, Linea, Blast, Mantle et Scroll.
L'attaquant ne s'est pas contenté de détenir les jetons rsETH volés. D'après les données de la blockchain, ces jetons ont été déposés sur Aave V3 en garantie pour emprunter d'importantes quantités d'Ether et d'Ether enveloppé. Les fonds ont ensuite transité par Tornado Cash afin de brouiller les pistes.
Cette mesure a transformé une faille de sécurité dans un pont en un risque potentiel de créances irrécouvrables pour Aave, l'une des plus importantes plateformes de prêt DeFi. Aave V3 pourrait ainsi se retrouver exposée à un risque de créances irrécouvrables pouvant atteindre 177 millions de dollars.
L'enquêteur blockchain ZachXBT a signalé l'incident dent Telegram moins d'une heure après. « Il semblerait que plus de 280 millions de dollars aient été dérobés à KelpDAO il y a une heure sur Ethereum et Arbitrum », a-t-il écrit, confirmant que les portefeuilles des pirates étaient alimentés via Tornado Cash .
déclaration publique de Kelp est intervenue sur X, plus de deux heures et demie après l'incident. « Plus tôt dans la journée, nous avons dent une activité inter-chaînes suspecte impliquant rsETH », a écrit le protocole. « Nous avons suspendu les trac sur le réseau principal et plusieurs réseaux de couche 2 le temps de mener notre enquête. Nous collaborons avec LayerZero, Unichain, nos auditeurs et des experts en sécurité de haut niveau sur l'analyse des causes profondes. »
Aave a gelé tous les marchés rsETH sur Aave V3 et V4. Le protocole a confirmé sur X que la vulnérabilité provenait de rsETH et non Aaveses proprestrac. « Nous analysons les informations relatives aux emprunts de rsETH effectués sur Aave après l'exploitation de la faille et nous communiquerons plus de détails dès que possible », a indiqué Aave . L'équipe Aave étudie également des solutions pour compenser les pertes.
Aave a chuté de 10,65 % aujourd'hui pour atteindre 103,86 $. Ethereum a reculé d'environ 3 % et se négocie actuellement à 2 358,24 $.
L'attaque contre KeplerDAO survient moins de deux semaines après le vol de 286 millions de dollars commis sur Drift Protocol, le plus important vol de cryptomonnaies de 2026 à ce jour. Selon un Cryptopolitan , le de Drift Protocol est lié au même groupe qui a dérobé 1,4 milliard de dollars à Bybit.
KelpDAO occupe désormais la deuxième place du classement des plus grands piratages de cryptomonnaies de 2026.
