Quand le robinet fuit à 293 millions de dollars
Le monde de la DeFi a vécu une nuit agitée. La plateforme de restaking Kelp DAO — connue pour son token rsETH — a été victime de l’une des attaques les plus dévastatrices de l’année 2026. Bilan : environ 292 à 293 millions de dollars partis en fumée, du wrapped ether (wETH) immobilisé sur pas moins de 20 blockchains différentes, et au moins neuf protocoles crypto entraînés dans la tourmente. Autant dire que la soirée du 18 avril ne restera pas dans les mémoires pour les bonnes raisons.
Comment l’attaque s’est déroulée
Selon les premières analyses, le vecteur d’attaque semble avoir ciblé le pont (bridge) de rsETH, le token de restaking liquide émis par Kelp DAO, via l’infrastructure LayerZero — un protocole de messagerie inter-chaînes très répandu dans l’écosystème DeFi. En clair, l’attaquant aurait exploité une faille dans le mécanisme permettant de transférer des actifs d’une blockchain à une autre, profitant probablement d’une vérification insuffisante pour créer ou déplacer des tokens de manière frauduleuse.
Le cabinet de sécurité blockchain Cyvers, qui surveille en temps réel les transactions suspectes sur la chaîne, a rapidement qualifié la situation de « contagion cross-protocole ». En d’autres termes : comme dans une épidémie, la brèche ne s’est pas cantonnée à Kelp DAO mais s’est propagée à au moins neuf autres protocoles interconnectés. Une démonstration, une fois de plus, que dans la DeFi, tout est lié — pour le meilleur et, ici, pour le pire.
46 minutes pour réagir : trop tard, mais pas tout à fait
La bonne nouvelle — si l’on peut parler de bonne nouvelle dans ce contexte — c’est que l’équipe de Kelp DAO n’est pas restée les bras croisés. Environ 46 minutes après le début du drainage, le mécanisme d’urgence de la plateforme a été activé : un multisig (un portefeuille nécessitant plusieurs signatures pour agir, un peu comme un coffre-fort à plusieurs clés) a gelé les contrats principaux du protocole.
Cette intervention a permis de bloquer deux tentatives de vol supplémentaires. C’est un peu comme fermer la porte de l’écurie après que le cheval s’est enfui — mais au moins, on a évité que d’autres chevaux ne suivent. Le montant total des pertes aurait pu être encore plus élevé sans cette réactivité.
Malgré ce gel d’urgence, des quantités importantes de wrapped ether restent bloquées et dispersées sur une vingtaine de blockchains différentes, rendant leur récupération particulièrement complexe sur le plan technique.
Le restaking, c’est quoi exactement ?
Pour ceux qui découvrent le concept, un petit détour s’impose. Le restaking est une pratique qui consiste à réutiliser des actifs déjà mis en jeu (stakés) sur Ethereum pour sécuriser d’autres protocoles simultanément — et ainsi maximiser les rendements. Kelp DAO proposait rsETH, un token représentant de l’ether restaké, permettant aux utilisateurs de conserver de la liquidité tout en participant à ce mécanisme.
C’est une mécanique élégante sur le papier, mais qui implique des bridges et des smart contracts complexes — autant de surfaces d’attaque potentielles pour des hackers motivés.
Le plus grand exploit crypto de 2026 ?
CoinDesk n’hésite pas à qualifier cet incident de plus grand hack crypto de l’année 2026 à ce jour. Un titre peu enviable pour Kelp DAO, qui rejoint ainsi une liste déjà longue de protocoles DeFi victimes d’exploitations massives. À titre de comparaison, les grands exploits de ces dernières années (Ronin Network, Wormhole, Euler Finance) avaient déjà mis en lumière la vulnérabilité structurelle des bridges inter-chaînes — un talon d’Achille récurrent de l’écosystème décentralisé.
Les enquêtes sont en cours pour identifier l’origine précise de la faille et, surtout, tenter de retrouver la trace des fonds. Dans le secteur crypto, certains hackers ont par le passé restitué des sommes importantes après avoir été identifiés ou contactés par les équipes — mais ce scénario reste loin d’être garanti.
Mise en perspective
Cet incident rappelle avec brutalité que la DeFi, malgré ses années de maturation, reste un terrain miné pour les utilisateurs non avertis — et parfois même pour les plus expérimentés. Les bridges inter-chaînes, en particulier, concentrent des risques énormes : ils gèrent des montants colossaux tout en devant interagir avec des environnements techniques hétérogènes, ce qui multiplie les points de défaillance potentiels.
L’affaire Kelp DAO soulève aussi des questions sur la gouvernance des protocoles DeFi : si un multisig d’urgence a pu agir en 46 minutes, pourquoi les mécanismes de détection préventive n’ont-ils pas permis d’anticiper l’attaque ? La course entre la sécurité et les exploiteurs est loin d’être terminée — et en 2026, le score reste préoccupant.