Samedi 18 avril, à 17h35 UTC, un message frauduleux a traversé un pont numérique entre blockchains. Quarante-six minutes plus tard, 292 millions de dollars avaient disparu. C’est le plus gros braquage crypto de l’année 2026 — et il porte la signature d’un groupe de hackers financé par un État : la Corée du Nord.

Le hack de Kelp DAO n’est pas un simple fait divers crypto. Il révèle comment une faille de configuration banale — un seul point de contrôle au lieu de plusieurs — peut provoquer un effondrement en cascade qui touche des dizaines de plateformes et des centaines de milliers d’utilisateurs. Décryptage d’une attaque chirurgicale.

Comment les hackers ont frappé : anatomie d’un casse en 46 minutes

Kelp DAO est un protocole de « liquid restaking » : les utilisateurs y déposent de l’Ethereum pour générer des rendements supplémentaires. En échange, ils reçoivent des jetons rsETH, une sorte de reçu numérique échangeable. Le protocole utilise un pont LayerZero pour permettre les transferts entre différentes blockchains.

Le problème ? Ce pont ne s’appuyait que sur un seul vérificateur pour valider les messages entrants. Un seul gardien devant un coffre contenant des centaines de millions de dollars.

Les attaquants — identifiés par LayerZero comme l’unité TraderTraitor du groupe Lazarus — ont procédé méthodiquement :

  • 10 heures avant l’attaque : six portefeuilles ont été pré-financés via Tornado Cash, un outil de mixage qui masque l’origine des fonds.
  • Compromission des nœuds RPC : les hackers ont pris le contrôle de deux serveurs (nœuds RPC) qui alimentent le vérificateur en données.
  • Attaque DDoS ciblée : les nœuds RPC sains ont été mis hors service par une attaque par déni de service, forçant le système à basculer sur les nœuds compromis.
  • Le message fantôme : un faux message cross-chain a été injecté. Le vérificateur, trompé par ses propres sources de données, l’a validé comme légitime.

Résultat : le pont a libéré 116 500 rsETH — environ 18 % de l’offre totale en circulation — vers un portefeuille contrôlé par les attaquants. Aucun ETH n’a jamais été déposé de l’autre côté. Les jetons ont été créés à partir de rien.

« En 46 minutes, la DeFi a perdu plus d’argent que dans n’importe quel autre incident de l’année. »

L’effet domino : Aave, Arbitrum et 13 milliards de dollars en fuite

Le véritable génie — et la véritable cruauté — de cette attaque réside dans ce que les hackers ont fait après le vol. Au lieu de vendre les rsETH volés (ce qui aurait fait chuter leur valeur), ils les ont déposés comme garantie sur Aave, le plus grand protocole de prêt DeFi, pour emprunter de véritables ETH « adossés » à du vent.

Les conséquences ont été dévastatrices :

  • Aave s’est retrouvé avec une dette toxique estimée entre 124 et 230 millions de dollars. Son jeton de gouvernance a chuté de 16 % à 90,13 $. Le TVL (valeur totale verrouillée) du protocole a perdu 6,6 milliards de dollars.
  • Panique générale : en 48 heures, plus de 13 milliards de dollars ont été retirés de l’écosystème DeFi. Les marchés rsETH sur Aave, SparkLend et Fluid ont été gelés en urgence.
  • Arbitrum intervient : le 21 avril, le Security Council d’Arbitrum a gelé 30 766 ETH (71 millions $) liés à l’exploit, une décision prise en coordination avec les forces de l’ordre.

Ce dernier point est particulièrement révélateur : pour sauver les fonds, un réseau soi-disant « décentralisé » a dû agir de façon centralisée. Preuve que dans les situations critiques, même la blockchain a besoin d’un bouton d’urgence.

Lazarus Group : la machine à voler de la Corée du Nord

L’attribution au groupe Lazarus, et plus précisément à son unité TraderTraitor, n’est pas une surprise. Selon Chainalysis, les acteurs liés à la Corée du Nord ont volé 2,02 milliards de dollars en crypto en 2025, portant leur butin cumulé à 6,75 milliards de dollars.

Ce même groupe serait responsable de l’exploit de 285 millions de dollars contre Drift Protocol le 1er avril 2026, ce qui porterait son bilan à plus de 575 millions de dollars en seulement 18 jours.

« Il ne s’agit plus de bugs dans les smart contracts. C’est de la guerre opérationnelle menée par un État, et c’est désormais la menace de sécurité dominante du secteur. »

Pour les PME et les entreprises qui s’intéressent aux cryptos ou à la DeFi, le message est clair : les menaces ne viennent plus seulement de hackers isolés, mais d’unités militaires disposant de ressources quasi illimitées et d’une patience stratégique redoutable.

La guerre du blâme : LayerZero contre Kelp DAO

Depuis l’attaque, les deux protocoles se rejettent la responsabilité. LayerZero affirme avoir averti Kelp DAO de ne pas utiliser une configuration à vérificateur unique. Kelp DAO rétorque que cette configuration était celle proposée par défaut par LayerZero et que les nœuds RPC compromis appartenaient à l’infrastructure de LayerZero.

Des chercheurs en sécurité semblent donner raison à Kelp sur un point : la documentation publique et le code de déploiement de LayerZero promeuvent effectivement la vérification à source unique sur les principales chaînes.

Ce jeu de ping-pong rappelle une leçon fondamentale en cybersécurité : la responsabilité partagée est souvent une responsabilité diluée. Quand deux prestataires se partagent la sécurité d’un système, chacun suppose que l’autre a couvert les angles morts. C’est exactement le même piège que vivent les PME qui pensent que leur hébergeur cloud « gère la sécurité » alors qu’en réalité, la configuration leur revient.

À retenir

  • Un seul point de défaillance = catastrophe garantie : Kelp DAO n’avait qu’un seul vérificateur pour valider des transactions de centaines de millions de dollars. Dans votre entreprise, avez-vous un seul mot de passe admin, un seul backup, un seul point de contrôle ?
  • Les hackers d’État changent la donne : le groupe Lazarus ne cherche pas la gloire ou le défi technique. Il finance un programme nucléaire. Les ressources et la sophistication sont sans commune mesure avec la cybercriminalité classique.
  • La « décentralisation » a ses limites : quand Arbitrum gèle 71 millions de dollars par décision d’un conseil de sécurité, la promesse d’un système sans autorité centrale montre ses limites — mais aussi sa capacité pragmatique à réagir.
  • La responsabilité partagée est un piège : le conflit LayerZero/Kelp DAO illustre un classique de la cybersécurité. Vérifiez toujours qui est responsable de quoi, surtout quand vous utilisez des services interconnectés (cloud, API, sous-traitants).
  • La vitesse tue : 46 minutes entre l’attaque et le gel des contrats, et c’était déjà trop tard. En cybersécurité, le temps de réaction est votre actif le plus précieux. Investissez dans la détection, pas seulement dans la prévention.

Photo : Jievani via Pexels