ZachXBT signale une faille de sécurité dans KelpDAO ayant entraîné une perte de plus de 280 millions de dollars et affectant les marchés de prêt DeFi sur Ethereum

• ZachXBT a signalé un vol de plus de 280 millions de dollars sur les protocoles DeFi d'Ethereum et d'Arbitrum le 18 avril 2026.
• La faille de frappe du rsETH de KelpDAO a généré des créances irrécouvrables sur Aave V3, entraînant une chute du token AAVE d'environ 10 à 13 %.
• KelpDAO n'a pas confirmé l'exploitation ; les analystes surveillent six portefeuilles d'attaquants identifiés à la recherche d'indices permettant de récupérer les fonds.

Exploit DeFi sur Ethereum : l'attaque rsETH de KelpDAO a permis de détourner plus de 280 millions de dollars

L'enquêteur on-chain ZachXBT a publié l'alerte initiale sur sa chaîne Telegram publique peu avant 15 h (heure de l'Est), répertoriant six adresses de portefeuilles liées au vol et notant que les portefeuilles des attaquants avaient été approvisionnés via Tornado Cash avant le début du détournement. Son message faisait état de pertes dépassant 280 millions de dollars sur plusieurs protocoles DeFi sans nommer directement KelpDAO, mais les analystes on-chain ont établi le lien entre les adresses en quelques heures.

« KelpDAO semble avoir subi un vol de plus de 280 millions de dollars il y a une heure sur Ethereum et Arbitrum », a écrit ZachXBT. « Les adresses utilisées pour l'attaque ont été approvisionnées via Tornado Cash. »

L'attaque a suivi un scénario bien rodé. Selon les rapports, les attaquants auraient exploité une faille dans la logique de frappe de rsETH, créant un volume important de jetons de restaking liquides sans fournir de garantie adéquate. Ce rsETH gonflé a ensuite été déposé sur les marchés de prêt Aave V3 sur Ethereum et Arbitrum, où l'attaquant a emprunté des montants importants d'ETH et d'autres actifs en contrepartie.

Une fois la garantie reconnue comme sans valeur, ces positions ont laissé Aave avec des créances irrécouvrables. Les estimations de la communauté concernant les pertes totales variaient entre 100 millions et environ 293 millions de dollars, soit l'équivalent d'environ 116 500 ETH aux prix actuels. Le cours de l'AAVE a fortement chuté à l'annonce de cette nouvelle. Les données de marché montrent une baisse comprise entre 10 % et 13 % dans les heures qui ont suivi l'alerte initiale, le marché ayant pris en compte l'exposition potentielle aux créances irrécouvrables sur l'ensemble des pools de prêt du protocole. Les jetons de restaking liquides tels que le rsETH sont profondément ancrés dans la composabilité de la DeFi. Ils sont acceptés comme garantie sur plusieurs marchés de prêt simultanément, ce qui signifie qu'une faille de frappe peut rapidement propager les pertes d'une plateforme à l'autre. L'incident KelpDAO illustre directement ce risque.

Les portefeuilles des attaquants répertoriés par ZachXBT présentaient d'importantes positions en ETH détenues sur Aave et Compound. Une seule adresse aurait détenu environ 120 millions de dollars en ETH sur Aave au moment de la détection. Les fonds ont été transférés rapidement après le détournement.

L'utilisation de Tornado Cash pour préfinancer les portefeuilles opérationnels avant l'attaque est une tactique courante chez les attaquants qui cherchent à dissimuler leurs origines. Cela n'indique pas une nouvelle technique, mais confirme que l'opération était délibérée et planifiée.

À environ 15 h (heure de l'Est) le 18 avril, KelpDAO n'avait pas publié de communiqué officiel ni de bilan rétrospectif. La communauté surveillait le compte X et le site web du projet dans l'attente d'une réponse, ainsi que les canaux de gouvernance d'Aave pour toute mesure d'urgence.

Les sociétés de sécurité DeFi, notamment Peckshield, Slowmist et d'autres, n'avaient pas encore publié d'analyses détaillées au moment de la rédaction de cet article, ce qui reflète la rapidité avec laquelle la situation a évolué. ZachXBT n'avait pas publié de suivi mentionnant spécifiquement KelpDAO sur les canaux publics, mais le chevauchement des adresses a clairement établi un lien.

Cet incident est distinct de l'exploitation du protocole Drift signalée pour la première fois par Bitcoin.com News le 1er avril 2026, qui avait entraîné le détournement d'environ 280 millions de dollars principalement sur Solana avant que l'USDC ne soit transféré vers Ethereum via CCTP. Les mécanismes, les chaînes et les chronologies sont distincts.

Les membres de la communauté conseillaient à toute personne détenant des rsETH ou des positions connexes sur Aave, Compound ou d'autres marchés de prêt de revoir son exposition tant que la situation restait en suspens. Les six portefeuilles des attaquants identifiés par ZachXBT restent des cibles actives pour le traçage sur la chaîne, tandis que les analystes s'efforcent de retracer le parcours des fonds après leur sortie d'Aave.