Le 18 avril 2026 à 17h35 UTC, un attaquant a vidé le bridge cross-chain de Kelp DAO de 116 500 rsETH, soit environ 292 millions de dollars, le plus grand hack DeFi de l’année. Le bridge LayerZero a été trompé pour croire qu’une instruction valide arrivait d’un autre réseau. Il a libéré les tokens à une adresse contrôlée par l’attaquant. Ces 292 millions représentaient 18 % de la totalité des rsETH en circulation dans le monde.
Qu’est-ce que le hack Kelp DAO et comment l’attaquant a-t-il pu voler 292 millions de dollars ?
Kelp DAO est un protocole de restaking liquide : les utilisateurs y déposent de l’ETH, qui est re-staké via EigenLayer pour générer des rendements supplémentaires, et ils reçoivent du rsETH en échange. Ce rsETH circule ensuite sur plus de 20 blockchains via un bridge LayerZero.
L’attaquant a fabriqué un faux message cross-chain, convainquant le bridge que l’instruction venait d’un réseau légitime. Le bridge a libéré 116 500 rsETH. L’attaquant les a ensuite déposés comme collatéral sur Aave V3 pour emprunter du wrapped ether. En 48 heures, il avait disparu avec les fonds. Kelp DAO a confirmé l’attaque et activé ses protocoles d’urgence.
Pourquoi Aave a-t-il perdu 6,6 milliards de dollars de TVL après le hack Kelp DAO ?
Aave n’a pas été piraté directement. L’attaquant a utilisé les 116 500 rsETH volés comme collatéral sur Aave V3 pour emprunter du wrapped ether, laissant Aave avec 196 millions de dollars de mauvaise dette. Les déposants ont paniqué et retiré massivement leurs fonds. La TVL d’Aave est passée de 26,4 milliards à moins de 20 milliards de dollars en quelques heures. Le token AAVE a chuté de 16 %.
Ce que cet exploit signifie pour les investisseurs francophones en DeFi
Pour les utilisateurs francophones qui investissent en DeFi en France, en Belgique ou au Canada, cet incident confirme un risque structurel précis : les bridges cross-chain sont le point de défaillance le plus fréquent de l’écosystème. Depuis le 1er janvier 2026, Drift Protocol (285 millions de dollars, acteurs nord-coréens), CoW Swap, Rhea Finance, Silo Finance et maintenant Kelp DAO ont tous été touchés. Aucun de ces protocoles ne bénéficie d’une garantie équivalente aux protections bancaires traditionnelles.
La règle reste identique : ne jamais déposer en DeFi plus que ce que l’on peut se permettre de perdre intégralement.
⚠️ Cet article est à titre informatif uniquement et ne constitue pas un conseil financier. Les cryptomonnaies sont des actifs hautement volatils. Effectuez toujours vos propres recherches avant tout investissement.
