Piratage à 293 millions : LayerZero et KelpDAO se déchirent sur les responsabilités
Week-end compliqué pour la DeFi. Un exploit à 293 millions de dollars sur le bridge de KelpDAO, près de 200 millions de mauvaise dette pour Aave, un bank run à 8 milliards et un token AAVE qui décroche de 18 %. Le combo parfait pour un cocktail explosif.
Et derrière le chaos, une autre bataille se joue. Les deux acteurs directement impliqués ont publié leurs versions officielles. Elles se contredisent mot pour mot.
Rappel des faits
Samedi 18 avril, 17h35 UTC. Un attaquant envoie un message forgé au bridge LayerZero de Kelp, qui l’accepte sans broncher et libère 116 500 rsETH, 293 millions de dollars en tokens littéralement sortis de nulle part.
Il ne les vend pas. Il les dépose directement sur Aave V3 et V4, emprunte du WETH bien réel, et disparaît. Quand Kelp finit par geler son bridge 46 minutes plus tard, l’ETH a déjà changé de propriétaire.
Les comptes au bout de 48 heures : à peu près 200 millions de mauvaise dette pour Aave, une TVL passée de 26,4 à 17,9 milliards, un token AAVE à -18 %, et 8 milliards de retraits nets.
Tous les détails du piratage et les scénarios de remboursement côté Aave (Umbrella, haircut, slashing des stkAAVE) ont été publiés dans notre précédente analyse :
LayerZero accuse KelpDAO
LayerZero dégaine le premier, et ne fait pas dans la demi-mesure : c’est entièrement la faute de KelpDAO.
D’après le communiqué, l’attaque était « isolée entièrement à la configuration rsETH de KelpDAO, conséquence directe de leur setup single-DVN ». L’exploit aurait dû être stoppé si rsETH n’avait pas reposé sur un setup 1-of-1, configuration qui « contredit directement le modèle de redondance multi-DVN que LayerZero a constamment recommandé ».
Audit complet des autres intégrations mené dans la foulée, aucune contagion identifiée ailleurs. Pour LayerZero, l’affaire est classée.
Sur la partie technique, il ne s’agirait pas d’une défaillance, mais bel et bien d’une attaque de niveau étatique. Une position qui interroge.
Les indicateurs préliminaires pointent vers le Lazarus Group nord-coréen, les mêmes qui traînent derrière la moitié des gros hacks de ces trois dernières années. Le protocole LayerZero lui-même n’aurait pas été compromis : les attaquants auraient empoisonné l’infrastructure RPC en aval utilisée par le DVN de LayerZero Labs.
Sur la responsabilité, tout est donc poussé vers la couche applicative. Et LayerZero a annoncé qu’ils ne signeront plus aucun message pour une application configurée en 1/1… alors même qu’ils se disent irréprochables.
La position de KelpDAO
Côté Kelp, le premier post X du 18 avril est minimaliste : confirmation de l’attaque, pause des contrats, coordination d’urgence avec LayerZero et Unichain. On serre les rangs.
Deux jours plus tard, c’est sur CoinDesk qu’ils publient la contre-attaque avec une réponse directe au communiqué de LayerZero.
- Argument 1 : le guide quickstart officiel de LayerZero pointe vers un setup DVN 1/1. La configuration par défaut sur GitHub aussi. Le V2 OApp Quickstart de LayerZero ? Pareil. Kelp n’a pas choisi une config exotique en cachette, elle a suivi la documentation publique. Trois fois.
- Argument 2 : le vérificateur unique qui a été corrompu tournait sur l’infrastructure propre de LayerZero, pas sur un tiers externe. Accuser Kelp d’avoir mal configuré un composant qu’elle n’opérait même pas, c’est fort le café.
- Argument 3 : Kelp et LayerZero communiquent en direct depuis juillet 2024. Et sur ce canal, aucune recommandation précise d’abandonner la config 1/1 pour rsETH n’aurait été transmise, contrairement à la thèse des « recommandations constantes » défendue par LayerZero.
Kelp nous apprend également que la pause d’urgence déclenchée 46 minutes après le drain aurait aussi bloqué deux tentatives de suivi qui auraient libéré environ 200 millions supplémentaires.
Alors qui a raison ?
Les deux, et c’est bien le problème.
Un setup multi-DVN aurait effectivement rendu l’attaque inopérante. Sur ce point, LayerZero a raison techniquement. Mais quand le défaut documenté, le quickstart et le template officiel pointent tous vers un 1/1, reprocher à un intégrateur d’avoir suivi la doc officielle, c’est intellectuellement fragile.
Zach Rynes, community manager chez Chainlink, a résumé l’affaire plus sèchement sur X : LayerZero reprocherait à Kelp d’avoir fait confiance à un setup que LayerZero soutenait elle-même. Difficile à contester.
Et souvenez-vous de l’annonce finale de LayerZero : plus aucun message signé pour les apps en 1/1. Si cette config était encore jugée acceptable la semaine dernière et ne l’est plus aujourd’hui, c’est peut-être que le problème ne venait pas uniquement des intégrateurs.
Comment le Club 25% a (encore) évité cette mine
Pour les membres qui nous suivent et qui se posent la question depuis samedi : l’exposition du portefeuille du Club 25% à rsETH est nulle. Pas de position directe, pas de pool compromise, pas un euro concerné par le bank run sur Aave.
Et ce n’est pas un coup de chance. Depuis le lancement du Club 25%, aucune opportunité partagée n’a jamais subi la moindre perte liée à la défaillance d’un protocole.
| Protocole | Date | Montant évaporé | Vecteur |
| Balancer V2 | novembre 2025 | ~125 M$ | Erreur d’arrondi dans les pools (a entraîné la fermeture de Balancer Labs en mars 2026) |
| Drift Protocol | 1er avril 2026 | ~285 M$ | Asset forgé + social engineering (Lazarus) |
| Kelp / LayerZero | 18 avril 2026 | 293 M$ | Bridge single-verifier compromis |
Plus de 700 millions de dollars évaporés en 6 mois. Zéro exposition côté Club 25% sur chacun de ces dossiers.
On ne détecte pas les exploits à l’avance. Personne ne le fait. Ce qu’on applique, c’est un système d’analyse de risque cadré et discipliné :
- Détection temps réel. On surveille en continu les signaux du marché DeFi : nouvelles opportunités de rendement, incidents en cours, changements de gouvernance, vulnérabilités remontées par les auditeurs.
- Test à petite échelle. Toute opportunité repérée est d’abord testée avec notre propre argent, en petit volume. C’est la seule façon honnête de valider qu’un protocole fait vraiment ce qu’il annonce.
- Audit complet et publié. Si le test est concluant, on produit un rapport public pour les membres : source du rendement, mécanisme, risques identifiés, historique de l’équipe. Rien n’est caché.
- Et la clé de voûte : sur chaque recommandation, on investit notre propre argent aux côtés des membres. Aucune position proposée au Club sans qu’on y soit nous-mêmes en premier.
Dans le Club 25%, on gère un portefeuille public de 100 000 $ en stablecoins avec un objectif de 15 à 25 % par an. Chaque position est documentée en direct, chaque entrée et chaque sortie sont expliquées, chaque ajustement est expliqué dans un rapport écrit et un live mensuel.
👉 Rejoindre le Club 25%
Et justement : la panique de ce week-end vient probablement d’ouvrir de belles fenêtres sur Aave. Avec les pools WETH et stablecoins à 100 % d’utilisation, certains rendements tournent actuellement autour de 20-30 % annualisés. Comme à chaque panique, le marché surpaie ceux qui comprennent ce qui se passe pendant que les autres fuient.
Club 25%
Cofondateur du Journal du Coin et créateur du Club 25%. On décortique la DeFi et on partage en direct toutes nos opérations sur un portefeuille de 100 000 $. Objectif : 15-25 %/an. Sans trading. Sans levier. Sans memecoin. Sans subir la volatilité.
