Plusieurs sociétés de sécurité on-chain et enquêteurs spécialisés du secteur ont indiqué tard samedi que le protocole de liquid restaking KelpDAO avait été victime d’un piratage massif, au cours duquel les attaquants ont siphonné près de 300 millions de dollars.
L’équipe à l’origine du projet a confirmé l’incident quelques heures plus tard. Elle a ajouté qu’elle travaillait désormais avec LayerZero, Unichain, ses auditeurs et des experts en sécurité de premier plan pour tenter de résoudre la situation.
Le plus gros piratage crypto de 2026 à ce stade
Cyvers figure parmi les acteurs de sécurité qui ont détecté la faille dès ses premières phases. L’entreprise a ensuite livré une explication plus détaillée de ce qui s’est produit dans des éléments transmis à CryptoPotato.
Selon cette analyse, l’attaquant a exploité le contrat de bridge du protocole et a siphonné environ 293,7 millions de dollars à partir du token de liquid restaking rsETH.
Après avoir pris le contrôle des fonds, le pirate a agi très rapidement en les échangeant contre de l’ETH. Il a ensuite réparti les actifs entre Ethereum et Arbitrum. L’activité on-chain montre que les fonds ont été divisés en deux lots, avec 178 millions de dollars sur Ethereum et 72 millions de dollars sur la solution layer 2.
Comment l’attaque a contaminé plusieurs protocoles
Les rsETH volés ont ensuite été déposés sur des protocoles de lending comme Aave V3, Compound V3 et Euler. Grâce à ces fonds obtenus illicitement, l’attaquant a pu emprunter d’importantes quantités de WETH, générant ainsi plus de 236 millions de dollars de dette.
Cyvers a expliqué qu’un attaquant peut, dans ce type de scénario, créer du rsETH non collatéralisé, puis s’en servir pour emprunter de vrais actifs comme l’ETH. C’est précisément, selon la société, ce qui explique pourquoi ce genre d’exploit prend une telle ampleur aussi vite.
Les experts ont ajouté qu’il ne s’agissait plus seulement d’un piratage isolé touchant un seul protocole. L’incident s’est immédiatement transformé en événement de contagion inter-protocoles.
Les actifs fortement intégrés dans les protocoles de lending, les vaults et les pools de liquidité sont particulièrement exposés à ce type de risque. Lorsqu’un maillon cède, la défaillance ne reste pas confinée.
« Cela se propage instantanément, crée de la mauvaise dette, force le gel des marchés et impacte plusieurs plateformes en même temps. »
Plusieurs plateformes ont dû geler leur exposition
À la suite de l’attaque, Aave V3 a gelé les marchés rsETH, tandis que SparkLend a suspendu son exposition. Dans le même temps, Fluid, Compound, Euler et d’autres protocoles ont pris des mesures pour tenter de contenir le risque.
Selon Cyvers, au moins neuf protocoles ont été affectés par les conséquences de cette attaque.
KelpDAO confirme une activité suspecte
Le compte X officiel du projet a confirmé la brèche après avoir identifié une activité cross-chain suspecte impliquant rsETH.
L’équipe a indiqué avoir suspendu les contrats concernés sur le mainnet ainsi que sur plusieurs layer 2, pendant que l’enquête se poursuivait.
Même si KelpDAO affirme travailler avec LayerZero, Unichain, ses auditeurs et d’autres spécialistes de la sécurité, aucune mise à jour supplémentaire n’avait été publiée au moment de la rédaction sur les prochaines étapes ou sur ce que les utilisateurs peuvent attendre.
Le piratage de KelpDAO devient ainsi le plus important de l’industrie crypto en 2026 jusqu’à présent, dépassant le précédent record détenu par Drift Protocol, dont l’exploit s’élevait à 280 millions de dollars.
