Le 18 avril 2026, KelpDAO a subi la plus importante faille de sécurité DeFi de l’année. L’attaquant a exploité son pont inter-chaînes basé sur LayerZero pour dérober environ 116 500 rsETH, soit une valeur d’environ 292 millions de dollars. Contrairement aux vulnérabilités classiques des smart contracts, cet incident relève d’une faille systémique amplifiée par la défaillance du modèle de confiance inter-chaînes et la composabilité des protocoles DeFi.
La faille technique centrale résidait dans la configuration de l’architecture de vérification inter-chaînes de LayerZero. Le pont rsETH de KelpDAO utilisait la solution OFT (Omnichain Fungible Token) de LayerZero, qui repose sur un DVN (Decentralized Verification Network) pour la sécurité. Cependant, KelpDAO fonctionnait avec un schéma de validation 1-sur-1, c’est-à-dire qu’une seule signature de validateur suffisait pour confirmer les messages inter-chaînes. L’attaquant a forgé un message inter-chaînes, déclenchant la libération automatique d’environ 292 millions de dollars d’actifs. L’exécution a été particulièrement rapide : de l’appel initial de fonction au transfert complet des fonds, l’ensemble du processus n’a duré que 46 minutes.
Après le vol, l’attaquant a déposé les rsETH dérobés en garantie sur Aave V3 et d’autres protocoles de prêt, empruntant une grande quantité d’ETH et générant environ 196 millions de dollars de créances irrécouvrables dans la comptabilité d’Aave. La valeur totale verrouillée (TVL) d’Aave a chuté d’environ 26,4 milliards de dollars à 18,6 milliards de dollars, et le token AAVE a perdu près de 20 % en une seule journée. L’attaquant a ensuite déplacé environ 30 766 ETH vers une adresse sur la chaîne Arbitrum One, une opération qui a directement déclenché l’intervention du conseil de sécurité.
Sur quelle base le conseil de sécurité est-il intervenu ?
Le Conseil de sécurité d’Arbitrum est un organe composé de 12 membres élus par l’Arbitrum DAO. Les membres sont renouvelés lors d’élections régulières, pour des mandats de 12 mois, par cohortes décalées de six personnes. La mission principale du conseil est d’agir rapidement en cas d’urgence, en utilisant un portefeuille multisignature 9-sur-12 pour protéger la sécurité et l’intégrité de l’écosystème Arbitrum.
Dans ce cas, l’intervention du conseil reposait sur la confirmation de l’identité de l’attaquant, avec l’appui des forces de l’ordre. L’annonce officielle d’Arbitrum précise que le conseil a agi « sur la base d’informations concernant l’identité de l’attaquant fournies par les autorités ». D’un point de vue de gouvernance, cette action s’inscrit dans la définition d’« urgence catastrophique » telle que décrite dans la documentation sur la décentralisation progressive d’Arbitrum, offrant ainsi une base légale à l’intervention du conseil.
Il est important de noter que les pouvoirs du conseil sont limités. Selon la charte de l’Arbitrum DAO, le conseil ne peut déroger aux procédures de gouvernance habituelles qu’en cas d’urgence, et au moins 9 membres sur 12 doivent donner leur accord. Dans ce cas, neuf membres ont voté en faveur du gel des fonds, atteignant ainsi le seuil minimal requis. Le membre du conseil Griff Green a précisé sur X que la décision « n’a pas été prise à la légère, mais après d’innombrables heures de débats techniques, pratiques, éthiques et politiques ».
Comment le gel on-chain a-t-il été mis en œuvre techniquement ?
Haseeb Qureshi, Managing Partner chez Dragonfly, a fourni une explication détaillée du mécanisme technique. La transaction de gel a utilisé ArbitrumUnsignedTxType (EIP-2718 type 0x65/101), une transaction de niveau système qui ne peut pas être générée par un compte externe (EOA) classique via une signature de clé privée. Seul le conseil de sécurité, via une injection ArbOS, peut exécuter ce type de transaction.
Cela signifie que l’opération diffère fondamentalement des transactions blockchain standards. Les transactions ordinaires sont autorisées par la clé privée de l’utilisateur, tandis que la légitimité de cette transaction système repose sur les règles de consensus de la chaîne, et non sur la signature d’un utilisateur en particulier. Le conseil, grâce à l’approbation multisignature 9-sur-12, a déclenché les capacités de modification d’état d’ArbOS, modifiant directement le solde du compte d’une adresse spécifique — transférant 30 766 ETH de l’adresse de l’attaquant vers un portefeuille intermédiaire de gel. La logique d’exécution de la chaîne a imposé ce transfert.
Il est à noter que cette action n’était pas un « rollback » classique de la chaîne. Aucun bloc confirmé n’a été annulé, et aucun historique de transactions n’a été réécrit. Tous les enregistrements on-chain durant l’attaque restent intacts, préservant l’immutabilité de la blockchain. D’un point de vue machine d’état, il s’agit d’une récupération d’actifs « au niveau de l’état » : la clé privée de l’attaquant peut toujours signer des transactions, mais les actifs principaux de cette adresse ont été déplacés de force vers un portefeuille contrôlé par la gouvernance, selon les règles de la chaîne. Cette approche technique permet une intervention ciblée tout en préservant l’intégrité du registre blockchain.
L’opération de gel a été particulièrement précise. Arbitrum a souligné que le transfert « n’a affecté aucun autre état on-chain ni utilisateur d’Arbitrum », et n’a pas perturbé les applications Arbitrum. Au 20 avril à 23h26 (heure de l’Est), les fonds avaient été transférés avec succès vers le portefeuille intermédiaire de gel, et l’adresse initiale de l’attaquant n’y avait plus accès. Tout mouvement ultérieur des fonds ne pourra intervenir que par une action coordonnée de l’organe de gouvernance d’Arbitrum.
Comment l’intervention de la gouvernance s’articule-t-elle avec les principes de décentralisation ?
Si le gel a permis d’intercepter une partie des fonds volés, il a également suscité un débat important sur les limites de la gouvernance décentralisée des réseaux. Un conseil de sécurité de couche 2, avec le soutien des forces de l’ordre, est intervenu pour geler les actifs d’une adresse on-chain spécifique — posant ainsi un jalon dans l’histoire de la DeFi.
La question centrale : l’immutabilité de la blockchain et la résistance à la censure sont-elles des principes absolus, ou peuvent-elles être modulées dans certaines circonstances ? Les partisans estiment que, face à des pertes massives pour les utilisateurs, une intervention d’urgence de la gouvernance est un outil nécessaire à la sécurité de l’écosystème. En tant qu’organe élu par la communauté, le conseil de sécurité incarne la volonté collective dans des scénarios extrêmes. Les détracteurs considèrent qu’un gel d’actifs on-chain remet en cause la philosophie fondamentale de la blockchain. Sur X, de nombreux utilisateurs ont critiqué la démarche d’Arbitrum, interrogeant le degré réel de décentralisation du réseau si le conseil peut geler des fonds par décret.
D’un point de vue design système, l’autorité du conseil de sécurité d’Arbitrum est clairement encadrée. Selon la documentation sur la décentralisation progressive, le conseil ne peut exercer de tels pouvoirs qu’en cas « d’urgence catastrophique » et doit réunir le seuil multisignature 9-sur-12. Les membres du conseil sont élus par la DAO et peuvent être révoqués par un vote de la DAO ou en interne, assurant ainsi un système de contre-pouvoirs. Toutefois, cet événement a mis en lumière un point non résolu : en l’absence de déclencheurs automatisés on-chain, la définition d’« urgence catastrophique » reste subjective, ce qui fait du périmètre d’action du conseil un risque de gouvernance potentiel.
Quels risques systémiques l’infrastructure cross-chain a-t-elle révélés ?
L’incident de sécurité de KelpDAO met en lumière la fragilité structurelle de l’infrastructure inter-chaînes. Ces dernières années, les piratages de ponts cross-chain ont représenté plus de 2,8 milliards de dollars de fonds volés — soit près de la moitié des pertes DeFi. Cet événement confirme la tendance : la vulnérabilité centrale ne résidait pas dans le code du smart contract, mais dans un point de défaillance unique du modèle de confiance inter-chaînes.
L’enquête de LayerZero a souligné que la configuration 1-sur-1 du validateur DVN de KelpDAO allait à l’encontre des bonnes pratiques du secteur. LayerZero avait recommandé à plusieurs reprises une configuration multi-validateurs pour la redondance, mais ces recommandations n’ont pas été suivies. Ce schéma impliquait que la compromission d’un seul validateur suffisait à libérer tous les actifs du pont. David Schwartz, CTO de Ripple, a résumé sur X : « L’attaque était bien plus complexe qu’il n’y paraît, exploitant un défaut de configuration de KelpDAO et ciblant l’infrastructure de LayerZero. »
Le modèle de confiance de l’infrastructure cross-chain repose, en substance, sur un « compromis » vis-à-vis des postulats de décentralisation de la blockchain. Dans un écosystème multi-chaînes, le transfert d’actifs entre chaînes nécessite un intermédiaire pour valider et relayer les messages. Que cet intermédiaire utilise un multisig, un DVN ou un autre mécanisme, il est difficile d’éliminer la dépendance à un groupe spécifique de validateurs. L’incident KelpDAO montre que lorsque cette dépendance se réduit à un seul point, l’ensemble du pont devient une vulnérabilité critique.
Comment le secteur va-t-il repenser ses cadres de sécurité et de gouvernance ?
Cet incident offre plusieurs enseignements majeurs pour l’industrie DeFi.
Sur le plan de la sécurité cross-chain, les configurations à validateur unique doivent être proscrites. LayerZero a mis hors ligne les nœuds concernés et rétabli les opérations du DVN, mais une question demeure : combien de protocoles fonctionnent encore avec des schémas similaires ? Le secteur doit renforcer ses standards d’audit de sécurité cross-chain et ses directives de configuration pour éliminer les risques de confiance unique à l’échelle systémique.
Côté gouvernance, l’équilibre entre les pouvoirs d’urgence du conseil de sécurité et la gouvernance communautaire doit être affiné. À ce jour, le périmètre d’action du conseil en cas « d’urgence catastrophique » repose encore sur une appréciation subjective, sans déclencheur on-chain clair ni mécanisme de revue a posteriori. Une évolution possible serait la mise en place d’un cadre de réponse d’urgence à plusieurs niveaux, adaptant les autorisations à la gravité de l’incident et introduisant des comités indépendants pour évaluer la légitimité des actions d’urgence a posteriori.
Concernant la répartition des pertes, l’incident KelpDAO porte sur un total d’environ 292 millions de dollars, dont le conseil de sécurité d’Arbitrum a gelé avec succès près de 71 millions — soit environ un quart du total. La gestion des pertes restantes — incluant les 196 millions de dollars de créances irrécouvrables d’Aave, les mécanismes de mutualisation inter-protocoles et d’éventuelles indemnisations — est toujours en discussion. Ce cas pourrait inciter les protocoles DeFi à intégrer des mécanismes de réponse d’urgence et de partage des pertes dès la conception, plutôt que de chercher des solutions a posteriori.
Conclusion
De l’exploitation du pont cross-chain au gel de 30 766 ETH par le conseil de sécurité, l’incident KelpDAO offre un panorama complet des mécanismes de réponse d’urgence de la DeFi face aux attaques d’ampleur. Le dilemme central — failles des modèles de confiance inter-chaînes versus limites de l’intervention de la gouvernance décentralisée — guidera les futures réformes et évolutions de la sécurité du secteur. Le gel réussi de 30 766 ETH constitue une étape majeure en matière de récupération d’actifs, mais soulève plus de questions qu’il n’apporte de réponses : qui définit une « urgence catastrophique » ? Comment faire respecter on-chain les standards d’intervention d’urgence ? Comment optimiser les modèles de confiance cross-chain pour concilier sécurité et décentralisation ? Les réponses à ces questions façonneront l’évolution de l’écosystème DeFi pour les années à venir.
Foire aux questions (FAQ)
Comment le Conseil de sécurité d’Arbitrum a-t-il pu geler précisément les fonds sans affecter les autres utilisateurs ?
Le conseil a utilisé une approche technique de niveau système ciblant une adresse spécifique. En exécutant une transaction ArbitrumUnsignedTxType via une injection ArbOS, il a transféré directement 30 766 ETH de l’adresse de l’attaquant vers un portefeuille intermédiaire de gel. Cette opération n’a modifié aucun bloc historique ni affecté les soldes ou les opérations des contrats des autres utilisateurs. Sa précision réside dans la modification exclusive de l’état de l’adresse ciblée.
Qu’adviendra-t-il des 30 766 ETH gelés ?
Actuellement, ces fonds sont détenus dans un portefeuille relais contrôlé uniquement par l’organe de gouvernance d’Arbitrum. Tout transfert ultérieur nécessitera une approbation via le processus de gouvernance d’Arbitrum et une coordination avec les parties concernées. Le plan précis de restitution des fonds n’a pas été annoncé et dépendra probablement de l’avancement des enquêtes et des procédures judiciaires.
Quel a été l’impact du gel sur la gestion globale de l’incident de sécurité KelpDAO ?
L’opération a permis de récupérer environ 71 millions de dollars de fonds volés — soit près d’un quart des pertes totales — limitant effectivement le contrôle de l’attaquant sur ces actifs. Toutefois, la résolution complète de l’incident KelpDAO — incluant la gestion d’environ 196 millions de dollars de créances irrécouvrables chez Aave, la répartition des responsabilités entre KelpDAO et LayerZero, ainsi que les dispositifs de compensation inter-protocoles — est toujours en cours.
