Kelp DAO : l’attaque de 175 M$ en ETH via des rails de confidentialité

• Le responsable de l’exploitation de Kelp DAO a commencé à déplacer 75 700 ETH d’une valeur de 175 millions $ vers de nouveaux portefeuilles.
• La brèche est liée à l’utilisation par Kelp DAO d’un réseau de vérification décentralisé 1-of-1.
• Arbitrum a gelé 30 766 ETH liés à l’exploit pour empêcher les retraits non autorisés.
• Des complications subsistent pour récupérer les fonds en raison de l’usage de plateformes sans garde comme THORChain.
• Kelp DAO et LayerZero se renvoient la responsabilité de l’attaque, soulevant des questions sur la sécurité des protocoles utilisés.

WEEX Crypto News, 2026-04-22 12:16:02

Mouvements des fonds volés

L’entité derrière la faille de sécurité de près de 290 millions $ de Kelp DAO a commencé à transférer massivement les fonds volés en Ether vers de nouvelles adresses. Environ 75 700 ETH, évalués à 175 millions $, ont été transférés mardi à travers trois transactions. Cette étape semble mener à une tentative d’obscurcir la provenance des fonds dérobés après l’exploit.

Mesures de gel et adaptation dans le secteur DeFi

Arbitrum a confirmé une intervention de son conseil de sécurité, composé de 12 membres, pour geler 30 766 ETH liés à l’exploitation. Ces fonds sont maintenant dans un portefeuille intermédiaire gelé, uniquement accessible via des décisions de gouvernance. Les répercussions de cette violation touchent également Aave, où l’attaquant a utilisé les actifs volés comme garantie pour emprunter d’autres fonds. Les premières estimations indiquaient un manque à gagner de 195 millions $, bien que les scénarios présentés par Aave dans un rapport d’incident fassent état d’une dette pouvant varier entre 123,7 millions $ et 230,1 millions $.

Puzzle des plateformes sans garde

L’utilisation de plateformes sans garde, comme THORChain, complique considérablement les efforts de recouvrement. Ces protocoles n’appliquent pas les vérifications traditionnelles Know Your Customer, rendant la traçabilité difficile une fois les actifs transférés entre les chaînes.

Divergence d’opinion sur la cause première

LayerZero a attribué le problème à des choix de configuration, suggérant que le groupe Lazarus de Corée du Nord pourrait être derrière l’attaque. Cependant, Kelp DAO a rejeté cette interprétation, affirmant que la configuration à un seul validateur de LayerZero n’était pas une personnalisation risquée, mais faisait partie des configurations par défaut documentées. Des chercheurs en sécurité ont confirmé que le pont reposait sur une structure DVN 1-of-1. Cette conception permettait à une instruction falsifiée de passer pour légitime, autorisant ainsi le transfert de 116 500 rsETH au portefeuille de l’attaquant.

Questions Fréquemment Posées

Comment les fonds volés ont-ils été transférés après l’exploitation ?

Les fonds ont été divisés en trois transactions importantes, passant par des réseaux de confidentialité comme THORChain et Umbra, rendant la traçabilité complexe.

Quelles mesures ont été prises pour sécuriser les actifs restants ?

Arbitrum a gelé une quantité importante des fonds volés pour éviter des retraits non autorisés supplémentaires, tandis que la gouvernance décidera de l’issue finale.

Quelle est la responsabilité de LayerZero dans cette faille de sécurité ?

LayerZero a affirmé que Kelp DAO utilisait une configuration de vérification non sécurisée, pourtant considérée comme une configuration par défaut par Kelp DAO. La sécurité de l’infrastructure sous-jacente est remise en question.

Pourquoi l’utilisation de plateformes sans garde représente-t-elle un défi ?

Ces plateformes n’imposent pas de procédures KYC traditionnelles, rendant les fonds plus difficiles à traquer lorsqu’ils migrent d’une chaîne à l’autre.

Quelles sont les implications pour les protocoles DeFi en matière de sécurité future ?

L’incident met en lumière la nécessité d’adopter des configurations de validation multi-vérificateurs pour éviter les failles critiques et réduire les points uniques de défaillance dans les protocoles DeFi.