Hack à 293M$ : LayerZero et KelpDAO se rejettent la faute

293 millions volés sur le bridge de KelpDAO

Le 18 avril 2026, à 17h35 UTC, un attaquant a exploité une faille critique sur le bridge LayerZero de KelpDAO. En forgeant un faux message accepté sans vérification, il a généré 116 500 rsETH de toutes pièces, soit 293 millions de dollars.

La mécanique était simple mais redoutable : déposer ces tokens sur Aave V3 et V4, emprunter du WETH réel en échange, puis disparaître. KelpDAO a gelé son bridge 46 minutes après l'attaque. Trop tard.

Un bilan catastrophique pour la DeFi

Les dégâts sont considérables :

• 200 millions de mauvaise dette sur Aave
• La TVL d'Aave chute de 26,4 à 17,9 milliards
• Le token AAVE perd 18%
• 8 milliards de retraits nets en 48 heures

Deux versions contradictoires

LayerZero pointe directement KelpDAO. Selon son communiqué, l'exploit résulte d'une configuration single-DVN (un seul validateur), pratique que LayerZero affirme avoir explicitement déconseillée au profit d'une architecture multi-DVN plus robuste. Pour LayerZero, aucune autre intégration n'est concernée.

KelpDAO conteste cette version. Les deux protocoles publient des récits opposés, et le débat sur les responsabilités est loin d'être clos.

Ce qu'il faut retenir

Cet incident illustre un risque souvent sous-estimé en DeFi : la sécurité d'un bridge dépend de sa configuration, pas seulement de la technologie sous-jacente. Un setup mal configuré peut annuler toutes les garanties d'un protocole pourtant réputé sûr.