L'exploitation de 292 millions de dollars de Kelp DAO a déclenché une vague de réactions dans toute l'industrie de la crypto, des développeurs et des traders avertissant que l'incident a exposé des failles profondes dans la manière dont la finance décentralisée (DeFi) est construite.
Les données partagées par les participants au marché montrent que les retombées immédiates se sont propagées bien au-delà du protocole piraté.
« Le piratage de rsETH entraîne des retraits sur tous les protocoles de prêt, même sur Solana et les protocoles non affectés », a déclaré 0xngmi dans un message dimanche, soulignant des sorties massives incluant « Aave : -6 200 m (-23 %) de flux nets » et des baisses plus faibles mais notables sur Morpho, Sky et JupLend. Le rsETH est l'éther « restaké » du protocole de restaking liquide Kelp DAO ; il s'agit d'un jeton de restaking liquide (LRT) qui permet aux utilisateurs de gagner des récompenses de jalonnement (staking) et de restaking d'éther tout en gardant leurs actifs liquides, même lorsqu'ils sont verrouillés.
Cette pression s'est rapidement transformée en quelque chose de plus grave. Un message largement diffusé par Josu San Martin a décrit un stress de liquidité en cascade sur les marchés de prêt : « Les déposants d'ETH ne peuvent pas retirer leurs ETH, ils empruntent donc des stables pour "retirer" des fonds... C'est une véritable ruée bancaire sur AAVE. »
Bien que Stani Kulechov, le fondateur d'Aave, ait déclaré que l'exploitation était externe et que les contrats du protocole n'étaient pas compromis, les déposants ont paniqué. La valeur totale verrouillée (ou dépôts) est passée de 26,4 milliards de dollars le 18 avril à près de 20 milliards de dollars dimanche matin (heure américaine), selon DefiLlama. Le jeton AAVE a également chuté de plus de 18 % alors que les déposants s'empressaient de retirer leur argent durant le week-end.
L'exploitation elle-même est devenue un point de mire pour les ingénieurs et les développeurs.
Plusieurs développeurs ont rejeté les premières hypothèses selon lesquelles le problème provenait de l'infrastructure de base. « L'exploitation de KelpDAO (~290 millions de dollars) n'est PAS un bug du protocole LayerZero. C'est un problème de configuration et une étude de cas que chaque projet possédant un jeton cross-chain doit examiner aujourd'hui », peut-on lire dans une analyse technique de cryptogoblin.
Le fil de discussion détaillait comment un point de vérification unique a permis l'attaque. « Une signature et 116 500 rsETH se sont matérialisés à partir de rien sur Ethereum », indiquait le message, décrivant un système où « les contrats [intelligents] n'étaient pas brisés. C'est la couche de vérification qui l'était ».
D'autres ont soutenu que le problème est plus profond qu'un simple choix de configuration.
Une critique, signée Fishy Catfish sur X, a présenté cela comme un défaut de conception, alléguant que : « il n'y a pas de plancher de sécurité... Une configuration peut être un DVN 1/1 et le DVN que vous avez choisi peut être un nœud unique géré par une seule entité. » Un DVN (Decentralized Verifier Network) dans la DeFi, spécifiquement au sein de LayerZero V2, est une entité indépendante responsable de la validation et de l'attestation de l'authenticité des messages envoyés entre différents réseaux blockchain. Essentiellement, les DVN vérifient les hachages de messages entre une chaîne source et une chaîne de destination.
Pour clarifier son propos, l'auteur a établi une comparaison avec le monde réel : « Imaginez si un fabricant de montagnes russes laissait les parcs d'attractions décider individuellement des spécifications de sécurité minimales. » En substance, l'auteur affirme simplement que la flexibilité sans garde-fous peut créer des risques cachés.
Le message allait jusqu'à affirmer que la configuration elle-même était le problème au sein de la conception. « Je pense personnellement que c'est une conception défaillante. La sécurité modulaire est un espace de conception valable, cependant, la gamme de sécurité devrait avoir un plancher de sécurité natif assez solide, puis permettre une superposition supplémentaire de sécurité pour les cas d'utilisation à haute valeur. »
Ce n'est pas seulement le montant et la complexité de l'exploitation qui ont suscité des critiques acerbes et paniquées. L'ampleur de l'attaque a renforcé les inquiétudes.
Environ 116 500 rsETH, soit environ 18 % de l'offre, ont été touchés. L'attaquant a trompé la couche de messagerie cross-chain de LayerZero en lui faisant croire qu'une instruction valide était arrivée d'un autre réseau, ce qui a déclenché le pont de Kelp pour libérer 116 500 rsETH vers une adresse contrôlée par l'attaquant.
Les protocoles ont réagi en gelant les marchés et en suspendant des fonctionnalités. Aave a interrompu l'activité sur le rsETH. Lido a suspendu les dépôts liés à l'actif. D'autres projets ont pris des mesures similaires pour limiter l'exposition à mesure que la situation évoluait.
Au-delà du débat technique, le sentiment général dans la crypto est devenu brusquement négatif. Un message a peut-être capturé ce changement d'humeur en termes crus : « La DeFi est morte... "utilisez simplement Aave" est mort », ajoutant que « L'ère de la crypto est terminée » et demandant : « Si vous lisez ceci, pourquoi êtes-vous encore dans la crypto ? »
Bien que cette réponse puisse sembler excessive, ce genre de réaction épidermique n'est pas inhabituel après des piratages majeurs, mais l'ampleur de cet événement se démarque.
L'attaque a touché simultanément l'infrastructure cross-chain, les modèles de restaking et les marchés de prêt. Elle fait également suite à une série d'incidents récents. Ce piratage survient dans une période inhabituellement hostile pour la DeFi, particulièrement ce mois-ci. Le protocole de perpétuels basé sur Solana, Drift, a été vidé d'environ 285 millions de dollars le 1er avril lors d'une attaque liée plus tard à des acteurs affiliés à la Corée du Nord, et au moins une douzaine de protocoles plus petits ont été exploités dans les semaines qui ont suivi, notamment CoW Swap, Zerion, Rhea Finance et Silo Finance.
Malgré toutes les explications, il reste encore plus de questions que de réponses.
Même LayerZero tente toujours de comprendre les détails complets de l'exploitation. « Nous sommes pleinement conscients de l'exploitation de rsETH et sommes en remédiation active avec l'équipe @KelpDAO depuis l'incident et continuons de surveiller. Toutes les autres applications restent sûres », a déclaré l'équipe dans un message sur X. « Nous identifions toujours la cause profonde aux côtés de @_SEAL_Org et d'autres. Nous publierons un post-mortem complet avec @KelpDAO dès que nous aurons toutes les informations. »
KelpDAO a fait écho à ce sentiment. « Plus tôt aujourd'hui, nous avons identifié une activité cross-chain suspecte impliquant rsETH. Nous avons suspendu les contrats rsETH sur le mainnet et plusieurs L2 pendant que nous enquêtons. Nous travaillons avec @LayerZero_Core, @unichain, nos auditeurs et les meilleurs experts en sécurité sur l'analyse des causes profondes (RCA). Nous vous tiendrons informés au fur et à mesure que nous en apprendrons davantage. »
Pourtant, certains développeurs voient une leçon plus claire dans ce chaos.
L'exploitation ne reposait pas sur le cassage du chiffrement ou le contournement des contrats intelligents. Au lieu de cela, elle a exposé à quel point les systèmes peuvent devenir fragiles lorsqu'ils dépendent d'hypothèses superposées.
En termes simples, les outils ont fonctionné comme prévu. C'est la façon dont ils ont été configurés qui a fait défaut.
Cette distinction pourrait façonner la suite des événements. Les constructeurs exhortent désormais les projets à revoir leurs configurations, en particulier ceux qui s'appuient sur la messagerie cross-chain.
Comme l'a dit crûment cryptogoblin : « Vérifiez vos configurations. Restez prudents. »
En savoir plus : Les rendements de la DeFi s'effondrent au point de ne plus pouvoir rivaliser avec un compte d'épargne traditionnel.
Aussi pour vous : Les probabilités favorisent une montée des Démocrates au Congrès l'année prochaine, période où les législateurs qui ont commencé à s'en prendre à des firmes telles que Kalshi et Polymarket pourraient avoir une plus grande influence.
Ce qu'il faut savoir :