rsETH, KelpDAO et LayerZero : autopsie du plus grand hack DeFi de 2026

rsETH et l'architecture omnichain de Kelp

Pour comprendre la surface d'attaque, il faut d'abord comprendre ce que Kelp DAO cherchait à construire. Le rsETH est un liquid restaking token : il représente des dépôts d'ETH dans EigenLayer, packagés sous une forme liquide et utilisable dans la DeFi. L'ambition de Kelp était de rendre ce token natif de toutes les chaînes simultanément, en s'appuyant sur le protocole de messagerie cross-chain LayerZero pour maintenir une offre cohérente de rsETH sur plus de vingt réseaux.

L'architecture retenue est de type hub-and-spoke. Le mainnet Ethereum détient les droits de minage et de remboursement du rsETH via un contrat appelé OFTAdapter. Les versions déployées sur les L2 sont des contrats OFT standards. Lorsqu'un utilisateur veut transférer du rsETH du mainnet vers une L2, l'OFTAdapter bloque les tokens côté Ethereum et envoie un message cross-chain à la L2 pour en émettre un montant équivalent. Dans le sens inverse, les tokens sur la L2 sont brûlés, et l'OFTAdapter libère les tokens correspondants sur le mainnet. Le système repose sur un postulat central : les messages qui arrivent dans l'OFTAdapter viennent nécessairement d'une source légitime et reflètent une destruction réelle côté L2.

C'est ce postulat que l'attaquant a brisé.

L'anatomie de l'exploit : un message forgé, 292 millions libérés

LayerZero V2 expose une méthode nommée lzReceive sur chaque contrat destinataire de messages cross-chain. C'est par cette porte d'entrée que les messages arrivant d'autres chaînes sont traités. L'attaquant a forgé un message cross-chain frauduleux et l'a soumis directement à l'EndpointV2 de LayerZero, en se faisant passer pour une instruction légitime provenant d'une L2. L'OFTAdapter a reçu ce message, l'a considéré valide, et a libéré 116 500 rsETH vers l'adresse de l'attaquant. Aucune destruction équivalente n'avait eu lieu sur aucune L2 : la conservation de l'offre omnichain, le principe fondamental du système, venait d'être rompue.

La raison pour laquelle ce message a passé la validation tient à un choix de configuration que Kelp avait fait dès l'intégration de LayerZero : une configuration DVN 1/1. Dans l'architecture de LayerZero V2, les DVN (Decentralized Verifier Networks) sont les entités qui vérifient l'authenticité des messages cross-chain avant qu'ils ne soient exécutés. Un projet peut choisir de requérir la validation d'un seul DVN, de plusieurs, ou d'un seuil parmi un ensemble. La configuration 1/1 signifie qu'un seul DVN doit valider chaque message pour qu'il soit considéré comme légitime. C'est le niveau de sécurité minimal que LayerZero autorise.

En janvier 2025, un contributeur avait explicitement signalé ce risque sur le forum de gouvernance d'Aave, arguant que Kelp devrait passer à un schéma multi-DVN pour sécuriser les marchés de prêt qui allaient accepter le rsETH comme collatéral. Quinze mois plus tard, la configuration n'avait pas changé. Le wallet de l'attaquant avait été approvisionné dix heures avant l'exploit via le pool Tornado Cash de 1 ETH, signal classique d'une préparation méthodique. ZachXBT a flaggé l'exploit en milieu d'après-midi le 18 avril. L'équipe Kelp a exécuté un pauseAll via son multisig 46 minutes après le drain, gelant le LRT Deposit Pool, le contrat de retrait, l'oracle et les tokens rsETH eux-mêmes. Deux tentatives suivantes, cherchant chacune à dérober 40 000 rsETH supplémentaires, ont été bloquées par la suspension des contrats. Sans cette réaction, le total aurait atteint 391 millions de dollars.

La contagion DeFi : Aave et la bad debt

Le montant volé est une chose. Son utilisation en est une autre. Dans les minutes qui ont suivi le drain, l'attaquant a déposé la totalité du rsETH dérobé comme collatéral sur Aave V3 et emprunté contre lui un volume important de WETH. Le rsETH venait d'être vidé de tout backing réel : les tokens déposés comme collatéral sur Aave ne représentaient plus rien d'autre que l'engagement d'un bridge rompu. Les positions d'emprunt contractées avec ce collatéral fantôme ne peuvent pas être liquidées par les mécanismes habituels d'Aave, puisqu'il n'existe pas d'acheteur rationnel pour un collatéral sans valeur. Le résultat est une bad debt d'environ 196 millions de dollars concentrée sur la paire rsETH/WETH sur Ethereum, une créance que personne ne remboursera.

Aave a gelé les marchés rsETH sur V3 et sur V4 dans les heures suivant l'exploit. La pool WETH d'Aave a atteint 100% de taux d'utilisation, bloquant les retraits des déposants. Stani Kulechov a confirmé que les contrats d'Aave n'avaient pas été compromis directement : la vulnérabilité était chez Kelp, pas chez Aave. La bad debt doit néanmoins être absorbée. C'est ici qu'intervient Umbrella, le mécanisme de protection du protocole qui a remplacé le Safety Module d'Aave fin 2025, et que cet incident active pour la première fois en conditions réelles. Le waterfall de couverture documenté par le protocole fonctionne par ordre : les déposants ayant alloué leurs aWETH à la vault Umbrella font face en premier à un slashing automatique pour absorber le déficit, la vault détenant environ 50 millions de dollars face à une bad debt de 196 millions. Les fournisseurs WETH hors vault Umbrella sont ensuite exposés à une décote au prorata. Si ces deux couches ne suffisent pas, la gouvernance peut activer un slashing des stakers stkAAVE, puis mobiliser la trésorerie du DAO.

Les bridges comme surface d'attaque permanente

L'exploit rsETH n'est pas un événement isolé. Il s'inscrit dans une histoire longue et cohérente d'attaques sur les bridges cross-chain. Le bridge Ronin d'Axie Infinity a perdu 624 millions de dollars en mars 2022 via une compromission de clés privées de validateurs. Wormhole a perdu l'équivalent d'environ 320 millions de dollars en février 2022, soit 120 000 wETH, via une vulnérabilité de smart contract permettant de minter des wETH sans dépôt réel. Nomad a perdu 190 millions de dollars en août 2022 via un bug introduit lors d'une mise à jour. Sur l'ensemble de l'année 2022, cinq attaques sur des bridges ont représenté 1,317 milliard de dollars perdus, soit 57% de l'ensemble des pertes Web3 de l'année. Les bridges représentent moins de 10% de la TVL totale de la DeFi et concentrent pourtant plus de 50% des fonds volés dans l'écosystème.

Le cas rsETH ajoute une dimension nouvelle à ce bilan : la vulnérabilité exploitée n'était pas un bug de code, mais un choix de configuration documenté et connu. LayerZero offre à ses intégrateurs une flexibilité totale sur leur niveau de sécurité, en leur permettant de calibrer leur stack de validateurs en fonction de leurs besoins et de leur budget. Cette flexibilité est une force architecturale, mais elle crée une responsabilité que tous les intégrateurs ne sont pas en mesure d'assumer correctement. L'alerte de janvier 2025 sur le forum Aave montrait que l'information existait, que le risque avait été identifié et formulé clairement : elle n'a simplement pas débouché sur une action corrective.

Les questions que cet exploit pose à l'écosystème

L'incident rsETH soulève trois questions que la DeFi va devoir traiter dans les prochains mois. La première est celle des standards minimaux de configuration pour les bridges intégrant des actifs à fort enjeu financier. LayerZero n'impose pas de seuil minimum de DVN à ses intégrateurs : c'est aux projets de décider. Mais quand un protocole de lending comme Aave accepte un token bridgé comme collatéral, il hérite implicitement du risque de la configuration bridge choisie par l'émetteur. La question de savoir si Aave aurait dû imposer des exigences de sécurité bridge comme condition d'intégration du rsETH va inévitablement ressurgir dans les discussions de gouvernance.

La deuxième question concerne la responsabilité des protocoles de lending face aux collatéraux bridgés. Le rsETH était un actif de restaking liquide, jugé suffisamment solide pour être intégré sur Aave V3 et V4. Mais sa valeur reposait sur l'intégrité d'un bridge dont la configuration de sécurité était sous-optimale et connue pour l'être. Le modèle de risque standard d'Aave évalue la volatilité, la liquidité et la centralisation d'un actif, pas la robustesse de son infrastructure cross-chain.

La troisième question est celle de la fragmentation omnichain elle-même comme vecteur de risque systémique. Plus un token est déployé sur de nombreuses chaînes via des bridges, plus sa surface d'attaque est étendue. rsETH était présent sur plus de vingt réseaux : chaque déploiement ajoutait un point d'entrée potentiel. La promesse de la DeFi omnichain est réelle et le marché la valide. Mais elle déplace le risque vers la couche de messagerie, qui reste aujourd'hui la moins standardisée de la chaîne.

Bilan de l'impact

Les conséquences directes et documentées de l'exploit au 19 avril 2026 sont les suivantes. Kelp DAO a perdu 116 500 rsETH, soit 292 millions de dollars, représentant 18% de l'offre circulante du token. Deux tentatives d'exploitation supplémentaires de 40 000 rsETH chacune ont été bloquées par la suspension des contrats, évitant un total de 391 millions de dollars. La TVL d'Aave a chuté de 6 milliards de dollars dans les heures suivant l'exploit. La bad debt générée sur Aave est estimée à environ 196 millions de dollars sur la paire rsETH/WETH, avec la pool WETH à 100% d'utilisation. Les marchés rsETH ont été gelés sur Aave V3 et V4, ainsi que sur SparkLend, Fluid, Compound V3 et Euler. L'incident constitue la première activation réelle du mécanisme Umbrella d'Aave, dont la vault aWETH détient environ 50 millions de dollars pour couvrir un déficit de 196 millions. L'exploit rsETH dépasse le hack de Drift Protocol du 1er avril 2026 (285 millions de dollars) et devient le plus grand exploit DeFi de l'année.

Article rédigé le 20 avril 2026 sur la base des informations publiques disponibles. Les chiffres de bad debt sont issus des premières estimations on-chain et peuvent évoluer à mesure que la gouvernance Aave traitera le déficit. Cet article ne constitue en aucun cas un conseil en investissement financier.