Piratage Kelp DAO : 292 millions siphonnés via le pont LayerZero
Le piratage Kelp DAO domine l’actualité crypto ce mardi 21 avril 2026. L’attaque a eu lieu le 18 avril sur le pont inter-chaînes du protocole de liquid restaking. Un assaillant a drainé 116 500 jetons rsETH, soit environ 292 millions de dollars, selon CoinDesk. Cela représente près de 18 % de l’offre circulante du token. Il s’agit du plus gros exploit DeFi depuis le début de l’année.
Le mécanisme de l’attaque en deux temps
Les pirates ont d’abord corrompu deux nœuds RPC du réseau de vérification décentralisée. Une attaque DDoS ciblée a ensuite forcé le basculement vers les nœuds compromis. Le message falsifié a alors franchi le pont sans obstacle. Dans son post-mortem du 20 avril, LayerZero met en cause la configuration à vérificateur unique du protocole. Kelp DAO, de son côté, renvoie la responsabilité vers les paramètres par défaut fournis par LayerZero.
Contagion sur Aave : quand la DeFi entière vacille
L’attaquant a ensuite déposé le butin sur Aave v3 comme collatéral. Il a emprunté du wrapped ether à hauteur de 236 millions de dollars. Le protocole se retrouve avec près de 195 millions de créances douteuses. La valeur totale verrouillée d’Aave a chuté de 26,4 à 17,9 milliards en 48 heures. Selon DeFiLlama, relayé par CoinDesk, la TVL globale du secteur a perdu plus de 14 milliards sur la même période. Ce repli ramène l’indicateur sous les 86 milliards, un plus bas d’un an.
Des liquidités bloquées dans toute la DeFi
Le cours du token AAVE a reculé de près de 18 % en une journée. Les pools USDT et USDC sur Aave v3 ont atteint 100 % d’utilisation. Plus de 5 milliards de stablecoins se retrouvent temporairement indisponibles au retrait. Curve Finance, Ethena et BitGo ont suspendu leurs passerelles liées à rsETH par précaution. Le choc se propage bien au-delà du protocole initialement visé.
Piratage Kelp DAO et Lazarus : Pyongyang siphonne la DeFi
LayerZero attribue l’attaque au groupe Lazarus, lié à la Corée du Nord. L’unité désignée, TraderTraitor, opère pour le compte du régime nord-coréen. Le 1ᵉʳ avril déjà, le protocole Drift perdait 285 millions dans une opération similaire, analysée par Chainalysis. En dix-huit jours, Pyongyang aurait donc siphonné plus de 575 millions à la DeFi. Chainalysis rappelait en décembre que la DPRK avait volé 2 milliards en 2025. Avril 2026 concentre à lui seul environ 606 millions de vols crypto.
Un basculement tactique inquiétant
Lazarus combinait jusqu’ici ingénierie sociale et compromission de clés privées. Le piratage Kelp DAO marque un glissement vers l’empoisonnement d’infrastructures critiques. Le groupe adapte son arsenal plus vite que les protocoles ne se durcissent. Cette tendance alimente un risque systémique durable pour l’écosystème ouvert.
Régulation : l’AMF, MiCA et DORA en première ligne
Pour les régulateurs, l’épisode arrive au pire moment. Le règlement MiCA applique désormais son cadre intégral aux prestataires européens. Le volet DORA impose des exigences renforcées de résilience opérationnelle aux acteurs financiers. L’AMF et la BCE observent de près les risques de contagion via les ponts inter-chaînes. Un prestataire enregistré PSAN comme CrypCool applique déjà ces normes côté custody et sécurité des fonds. Le débat se déplace vers les opérateurs de bridges et leurs obligations de cybersécurité.
Lecture macro-crypto : la DeFi contre les flux ETF institutionnels
Paradoxalement, le Bitcoin reste stable autour de 76 000 dollars. Les ETF spot américains ont drainé plus de 411 millions de dollars la semaine dernière. BlackRock capte à lui seul près de la moitié de ce marché. La liquidité institutionnelle se concentre sur le Bitcoin réglementé et custodié. Elle fuit, dans le même mouvement, les couches les plus risquées de la finance décentralisée. Ce découplage pèse lourdement sur les tokens de gouvernance comme AAVE. Il conforte surtout l’argumentaire d’une exposition crypto passant par des circuits régulés.