Des hackers ont exploité un pont inter-chaîne lié à Kelp DAO, entraînant le vol de près de 300 millions de dollars d’actifs numériques, ce qui a été rapporté comme le plus grand exploit financier décentralisé de 2026.
L’attaque visait un pont construit avec la technologie LayerZero, qui permet des transferts entre différents réseaux blockchain. Selon des rapports, les attaquants ont vidé environ 116 500 jetons rsETH, évalués à environ 292 millions de dollars au moment de l’incident.
La brèche a eu lieu le 18 avril 2026, lorsque les assaillants ont effectué des transactions non autorisées sur l’infrastructure du pont. D’autres tentatives d’extraction de fonds ont été identifiées mais sans succès, limitant ainsi les pertes totales.
Kelp DAO a suspendu les contrats affectés peu après avoir détecté l’activité, afin d’empêcher d’autres transferts non autorisés.
Les ponts inter-chaînes sont conçus pour faciliter le transfert d’actifs entre des écosystèmes blockchain distincts. Ces systèmes reposent sur des mécanismes de validation qui confirment les transactions entre réseaux. Dans ce cas, l’exploit consistait à manipuler ces mécanismes pour autoriser des retraits non légitimes.
Les biens volés représentent une part importante de l’approvisionnement du protocole. Les estimations indiquent que les fonds drainés représentaient environ 18 % de l’offre totale de rsETH à l’époque.
L’incident a touché plusieurs plateformes financières décentralisées qui reposent sur la même infrastructure, car les ponts cross-chain servent souvent de composants partagés entre différents services.
Aucune attribution confirmée n’a été faite concernant l’identité des assaillants. Des enquêtes sont en cours, les analystes blockchain suivant le mouvement des fonds volés à travers différents réseaux et services.
Les ponts inter-chaînes ont été à plusieurs reprises ciblés lors d’incidents précédents en raison des vastes pools d’actifs qu’ils détiennent et de la complexité de leurs systèmes de validation. La recherche en sécurité a identifié ces mécanismes comme un point de défaillance courant dans les architectures financières décentralisées.
Les détails techniques complets de l’exploit n’ont pas été divulgués. Kelp DAO et les fournisseurs d’infrastructures associés ont déclaré que l’analyse de l’incident est en cours.