116 500 rsETH. 293 millions de dollars. 46 minutes. Ces trois chiffres résument le plus gros braquage DeFi de 2026, et il a eu lieu il y a trois jours. Le 18 avril, un attaquant a vidé Kelp DAO avant que quiconque ait le temps de comprendre ce qui se passait.
Si vous aviez du rsETH dans votre wallet à ce moment-là, vous avez vu le prix décrocher en temps réel. Si vous aviez prêté du WETH sur Aave, vous vous réveillez avec une dette bancaire de 177 à 196 millions de dollars à éponger collectivement. Et si vous êtes juste curieux de savoir comment un protocole peut perdre un quart de milliard en moins d'une heure, vous êtes au bon endroit.
On va regarder ce qui s'est vraiment passé, pourquoi LayerZero revient dans la conversation, et surtout ce que ça veut dire pour quiconque laisse des fonds dormir dans un protocole de restaking.
Kelp DAO, c'était quoi déjà avant le hack ?
Avant de raconter la chute, rappelons le sommet. Kelp DAO est un protocole de restaking liquide construit au-dessus d'EigenLayer. Vous déposez de l'ETH ou un LST (liquid staking token), vous recevez du rsETH, et ce token reste utilisable ailleurs, typiquement comme collatéral sur Aave pour emprunter du WETH ou des stablecoins.
L'idée a séduit. rsETH s'est retrouvé intégré partout, jusqu'à devenir l'un des LRT (liquid restaking tokens) les plus acceptés de l'écosystème. Si le concept vous échappe, on a déjà creusé le sujet dans notre guide sur le restaking et les rendements empilés.
Le problème, c'est que plus un token est composable, plus sa casse fait mal. Kelp a utilisé LayerZero pour faire circuler rsETH entre les chaînes. Et c'est précisément là que la faille s'est nichée.
Comment l'attaquant a-t-il vidé 293 millions en 46 minutes ?
L'exploit est presque élégant dans sa bêtise. L'attaquant a trouvé un défaut critique dans la logique de mint de rsETH sur le pont cross-chain propulsé par LayerZero. Au lieu de déposer du collatéral réel, il a minté 116 500 rsETH à partir de rien.
Ces tokens, techniquement "non-backed", sont ensuite partis directement sur Aave V3 et V4. Déposés comme collatéral. Utilisés pour emprunter des montants massifs de WETH. L'argent réel des prêteurs s'est barré dans le wallet de l'attaquant. Le rsETH, lui, est resté sur place, sans rien derrière pour le soutenir.
D'après ZachXBT, l'enquêteur on-chain qui a tracé l'affaire, les fonds de départ venaient de Tornado Cash. Six wallets ont été identifiés et surveillés. L'équipe a coupé les vannes avec une fonction de pause d'urgence, bloquant au passage deux tentatives supplémentaires d'environ 100 millions.
Mais le mal était fait.
Quel rôle exact pour LayerZero dans cette histoire ?
C'est la question qui agace les devs du secteur. LayerZero, en soi, n'a pas été compromis au niveau protocolaire. La faille était dans le contrat de mint côté Kelp, qui s'appuyait sur les messages LayerZero sans valider correctement l'état du collatéral sous-jacent.
Formulé autrement : LayerZero a livré le courrier comme prévu. C'est Kelp qui a ouvert la porte à n'importe quel expéditeur.
Ça n'exonère pas totalement les ponts cross-chain. Quiconque a suivi l'historique des hacks DeFi depuis 2022 (Wormhole, Ronin, Nomad, Multichain, Orbit) sait que les bridges concentrent une part absurde des pertes du secteur. D'après les données compilées, les attaques contre les bridges représentent plus de 2 milliards de dollars sur ces trois dernières années. Le problème, ce n'est pas "un bridge spécifique", c'est le modèle de sécurité de tous les ponts qui empile des hypothèses les unes sur les autres.
Si le sujet des ponts cross-chain vous intéresse, notre analyse des wallet drainers et failles courantes couvre les vecteurs connexes qui touchent aussi les utilisateurs finaux.
Pourquoi Aave s'est-il retrouvé dans la zone de dégâts ?
Parce que rsETH était accepté comme collatéral avec un ratio LTV (loan-to-value) généreux, et parce que 116 500 rsETH frais, ça ne passe pas inaperçu. Sauf quand vous regardez les oracles de prix pendant 46 minutes précises.
Le résultat : environ 177 à 196 millions de dollars de mauvaise dette sur Aave V3 et V4. Le token AAVE a perdu 14 % dans la foulée. Le volume de trading de rsETH a explosé de plus de 100 000 %. Et la TVL totale d'Aave est passée de 26,4 milliards à 17,9 milliards en quelques heures, d'après les données agrégées du jour.
Les fournisseurs de WETH sur Aave font face à un "haircut" possible sur leurs dépôts. Traduction : ceux qui prêtaient gentiment leur ETH pour toucher quelques pour cent annuels pourraient récupérer moins que ce qu'ils avaient mis. Personne n'a encore officialisé le pourcentage de coupe.
crypto montrant les pertes DeFi d'avril 2026" />Est-ce vraiment le plus gros hack DeFi de 2026 ?
Oui, mais pas pour longtemps sans doute. Les chiffres d'avril 2026 sont vertigineux. Sur les 18 premiers jours du mois, la DeFi a perdu 606,2 millions de dollars cumulés en 12 incidents. C'est 3,7 fois les pertes du premier trimestre entier.
Kelp DAO (293 M$) et Drift Protocol (285 M$, début avril) pèsent à eux seuls 95 % des pertes d'avril. Et 75 % du total cumulé 2026. On a aussi vu passer CoW Swap avec 1,2 M$ perdus via un domain hijacking, proche cousin des techniques décrites dans notre dossier sur l'address poisoning, le breach Vercel qui a poussé toute l'industrie à tourner ses clés API, et plusieurs incidents plus discrets sur Grinex et Rhea Finance.
Un analyste cité par plusieurs outlets résumait bien la situation : "La DeFi reste un marché de niche tant que le risque ne peut pas être proprement tarifé. Pour l'instant, on en est loin." Difficile de le contredire quand un mois de 18 jours fait plus de dégâts que trois mois de 2025.
Qu'est-ce que Kelp DAO fait pour récupérer les fonds ?
Pour l'instant, pas grand-chose d'exploitable. L'équipe a activé la pause d'urgence en 46 minutes, ce qui est rapide pour un protocole DeFi. Mais les fonds étaient déjà sortis vers Tornado Cash.
Les pistes classiques sont sur la table : négociation avec l'attaquant via message on-chain (la fameuse "white hat offer" de 10-20 %), coordination avec les exchanges centralisés pour flagger les adresses, et une éventuelle proposition de gouvernance pour socialiser les pertes entre les holders de rsETH restants.
Aucune garantie. Les hacks récents (Euler, Ronin, BNB Bridge) ont connu des résolutions très différentes. Euler a récupéré 90 %. Ronin aussi, mais grâce à Binance. BNB Bridge a juste gelé les fonds. Kelp ? Trop tôt pour le dire, et je préfère ne pas promettre ce que personne ne peut tenir.
Mise à jour du 21 avril 2026 : les wallets de l'attaquant sont toujours surveillés et aucun mouvement vers un exchange n'a été détecté depuis la pause initiale.
Comment se protéger quand on utilise du rsETH ou un autre LRT ?
Vous n'allez pas aimer la réponse, parce qu'il n'y a pas de solution magique. Mais voici ce que font les gens qui traversent ces incidents avec le moins de dégâts.
D'abord, diversifier. Si vous avez tout votre ETH en rsETH sur un seul pont entre deux chaînes, vous avez empilé trois risques au-dessus du risque de base (smart contract Kelp + bridge LayerZero + protocole de destination comme Aave). Répartir entre plusieurs LRT (rsETH, weETH, ezETH, pufETH) limite l'impact d'un seul exploit.
Ensuite, vérifier où votre token est utilisé comme collatéral. Si votre rsETH sert à emprunter ailleurs, vous portez deux fois le risque : celui de votre dépôt et celui de votre position ouverte. Thomas, un utilisateur actif de la DeFi interrogé dans les threads post-hack, explique : "J'avais mis du rsETH sur Aave pour emprunter du USDC. Quand la pause est tombée, j'ai dû fermer ma position à chaud en perdant sur le slippage. Jamais je ne remettrai tout sur une seule chaîne."
Enfin, regarder les audits. Kelp avait été audité, oui. Mais les audits de 2024 ne couvrent pas forcément les intégrations cross-chain ajoutées en 2025. Avant de déposer, vérifiez la date du dernier audit et si le contrat exploité était dans le scope. L'info est sur les dépôts GitHub des protocoles sérieux.
Ce hack change-t-il quelque chose pour le restaking en général ?
Probablement, oui. Pas dans le sens "tout le monde arrête", mais dans le sens "les intégrations vont devenir plus conservatrices". Aave travaille déjà sur un découplage des oracles de prix pour les LRT, histoire qu'un mint anormal se voie avant que le dommage ne soit fait. D'autres plateformes lending (Morpho, Spark) ont annoncé une revue complète de leurs listings LRT.
EigenLayer, le protocole de base sous Kelp, n'est pas touché techniquement. Mais son narrative de "restaking comme nouvelle primitive DeFi" prend un coup. Quand les intégrations en aval pètent, même si la couche de base est saine, la confiance fuit. L'ensemble du secteur reste scotché à 53-55 milliards de TVL, mais le rythme d'adoption va probablement ralentir quelques semaines. Pour contextualiser la dynamique du marché avant ce choc, relisez notre point sur les mises à jour récentes d'Ethereum.
Que retenir, concrètement, de ce hack ?
Trois trucs, pas plus.
Un, les ponts cross-chain restent le maillon faible de la DeFi. Ça fait quatre ans qu'on le sait, et ça reste vrai. Si vous faites circuler de la valeur entre deux chaînes, partez du principe que la probabilité d'un exploit sur ce chemin-là est plus élevée que sur chaque chaîne prise individuellement.
Deux, la composabilité est à double tranchant. Le même rsETH qui vous donnait du rendement sur trois protocoles différents devient un poison radioactif quand la brique du bas casse. Plus un token est intégré, plus son effondrement fait mal.
Trois, 46 minutes, c'est à la fois très court et beaucoup trop long. Les équipes DeFi s'améliorent sur la détection, mais tant qu'il n'y a pas de "circuit breaker" automatique connecté à des signaux anormaux (mint soudain, TVL qui s'effondre, volume 100 000× la moyenne), on reverra ce type de hack.
Le marché va digérer. Les protocoles vont s'ajuster. Les utilisateurs, eux, vont soit apprendre, soit s'en aller. À vous de décider dans quelle catégorie vous êtes.
Et vous, vous aviez du rsETH au moment du hack ? Vous avez changé votre stratégie de restaking depuis ? Les retours en commentaires aident ceux qui lisent cet article plus tard à ne pas refaire les mêmes erreurs.
Sources : Yahoo Finance ("April 2026 Becomes Worst Month for Crypto Hacks Since February 2025"), Coindoo ("The Biggest DeFi Hack of 2026: $293 Million Gone in 46 Minutes"), TheStreet Crypto, enquête ZachXBT.
Dernière mise à jour : 21 avril 2026.
