C’est l’événement majeur du week-end. Samedi 18 avril, un pirate a dérobé 292 millions de dollars sur Kelp DAO. Ce lundi 20 avril, le choc se propage encore à travers la finance décentralisée. Concrètement, l’attaquant a exploité une faille du protocole Kelp DAO, une plateforme bâtie sur Ethereum.
Kelp DAO : ce qui s’est réellement passé
D’abord, Kelp DAO permet à ses utilisateurs de déposer leurs ethers. En échange, ils reçoivent un jeton-reçu représentatif de leur dépôt. Ce jeton leur permet ensuite de faire fructifier leur mise. Ici, le pirate a détourné une grande partie de la réserve qui garantissait ce jeton. Pour y parvenir, il a envoyé une fausse instruction à l’infrastructure entre blockchains. Point important : les programmes de Kelp eux-mêmes restent intacts. En revanche, c’est bien le système de communication entre blockchains qui a cédé.
Aave encaisse l’onde de choc
La contagion s’est propagée immédiatement. Aave, premier site de prêt décentralisé du marché, a vu ses dépôts fondre. Au total, le protocole a perdu 6 milliards de dollars en quelques heures. Dans la foulée, son jeton AAVE a chuté d’environ 16 %. En effet, l’attaquant avait d’abord utilisé les jetons volés comme garantie sur Aave. Il a ensuite emprunté environ 196 millions de dollars supplémentaires avant de disparaître. Il laisse désormais la plateforme avec une créance potentiellement irrécouvrable. Par ailleurs, plusieurs acteurs de la finance décentralisée ont suspendu en urgence leurs opérations. SparkLend, Fluid, Upshift et Lido Finance figurent parmi les protocoles concernés.
Kelp DAO, plus grosse attaque DeFi de 2026
Cette attaque devient désormais la plus importante de l’année 2026. Elle dépasse ainsi celle du protocole Drift, survenue le 1ᵉʳ avril. Drift avait perdu 285 millions de dollars dans une opération attribuée à des acteurs nord-coréens. Selon Ledger, éditeur français de portefeuilles sécurisés, l’incident a « érodé » la confiance dans la finance décentralisée. L’entreprise estime par ailleurs que 2026 pourrait devenir « la pire année jamais vue en matière de piratages ».
Les ponts cross-chain, talon d’Achille persistant
L’épisode remet au premier plan la fragilité des « ponts » entre blockchains. Ces infrastructures permettent de faire circuler les cryptos d’un réseau à l’autre. Or, les hackers exploitent régulièrement ce maillon faible. Le piratage record de Ronin, en 2022, avait déjà coûté 625 millions de dollars. Surtout, cet incident illustre l’effet domino d’un écosystème tentaculaire. Les mêmes jetons servent en effet de garantie sur plusieurs plateformes à la fois. Dès lors, un trou sur un site devient instantanément le problème de dix autres.