Le plus gros vol de la DeFi en 2026 : des pirates ont facilement exploité une faille d'Aave

Auteur : Xiao Bing, Shenchao TechFlow

Le 18 avril à 17 h 35 (UTC), un portefeuille ayant blanchi de l'argent via Tornado Cash a envoyé un message inter-chaînes au contrat LayerZero EndpointV2.

Le message était clair : un utilisateur d'une certaine chaîne souhaitait transférer des rsETH vers le réseau principal d'Ethereum. LayerZero a fidèlement transmis l'instruction conformément à la conception du protocole. Le contrat de pontage déployé par Kelp DAO sur le réseau principal a également exécuté la mise à jour fidèlement, conformément à sa conception.

116 500 rsETH, d'une valeur d'environ 292 millions de dollars à l'époque, ont été transférés en une seule transaction vers une adresse contrôlée par le pirate.

Le problème, c'est que personne sur l'autre chaîne n'avait jamais déposé ce rsETH. Cette « requête inter-chaînes » a été inventée de toutes pièces ; LayerZero y a cru, et le pont de Kelp y a cru.

Quarante-six minutes plus tard, la procédure d'urgence à signatures multiples de Kelp a finalement permis de mettre un terme à la situation. À ce moment-là, l'attaquant avait déjà mené à bien la seconde partie de son opération : il avait utilisé les rsETH volés, qui n'étaient pratiquement pas garantis, pour constituer une garantie sur Aave V3, empruntant ainsi environ 236 millions de dollars de wETH.

Il s'agit du plus important vol dans le domaine de la DeFi en 2026 à ce jour, dépassant de plusieurs millions de dollars le protocole Drift, qui avait été attaqué par des pirates nord-coréens le 1er avril, mais ce qui fait véritablement frémir le secteur, ce n'est pas seulement le montant.

Comment l'attaque s'est déroulée : Trois paris de 17 h 35 à 18 h 28

Rétablissons la chronologie.

17 h 35 UTC, premier succès. L'attaquant a appelé la fonction lzReceive du contrat LayerZero EndpointV2, et un portefeuille alimenté par Tornado Cash a envoyé un paquet de données inter-chaînes falsifié au contrat de pont de Kelp. La vérification du contrat a été validée, et 116 500 rsETH ont été transférés vers l'adresse de l'attaquant. Une seule transaction. Propre.

À 18 h 21 UTC, la pause d'urgence multi-signature de Kelp a gelé les contrats rsETH principaux sur le réseau principal et sur plusieurs couches 2. 46 minutes après l'attaque.

À 18 h 26 et 18 h 28 UTC, le pirate a lancé deux nouvelles tentatives, cherchant à chaque fois à retirer 40 000 rsETH (environ 10 millions de dollars) à l'aide d'un paquet de données LayerZero. Les deux opérations ont été annulées ; le contrat avait déjà été gelé, mais l'attaquant tentait manifestement toujours de détourner les liquidités restantes.

Près de trois heures se sont écoulées entre ce premier succès et la déclaration publique de Kelp.

Le premier message de Kelp sur X n'a été publié qu'à 20 h 10 UTC, et son contenu était très sobre : une activité inter-chaînes suspecte impliquant rsETH avait été détectée, les contrats rsETH sur le réseau principal et plusieurs couches 2 avaient été suspendus, et l'équipe collaborait avec LayerZero, Unichain, des auditeurs et des experts en sécurité externes pour déterminer la cause profonde du problème.

Cependant, avant même la publication du communiqué officiel, ZachXBT, un enquêteur spécialisé dans l'analyse des données on-chain, avait tiré la sonnette d'alarme sur sa chaîne Telegram peu avant 15 h, heure de la côte Est, en répertoriant six adresses de portefeuilles liées au vol et en soulignant que le portefeuille utilisé pour l'attaque avait préparé des fonds via Tornado Cash avant de passer à l'action. Il n'a pas cité Kelp DAO, mais les analystes de la blockchain ont établi le lien entre ces adresses en quelques heures seulement.

Il s'agissait d'une **opération préméditée qui a été menée