Analyse de l'attaque contre Kelp DAO : une fausse information a escroqué 292 millions de dollars, le risque systémique dans la DeFi ravive les inquiétudes

1. Aperçu de l'événement

Le 18 avril à 17h35 UTC, le deuxième plus grand protocole de staking liquide, Kelp DAO, a subi une attaque massive. Le hacker a exploité une vulnérabilité dans le pont inter-chaînes rsETH basé sur LayerZero, en falsifiant un message inter-chaînes pour voler 116 500 rsETH sur le réseau principal Ethereum, d'une valeur d'environ 292 millions de dollars, représentant environ 18 % de la circulation totale de rsETH. Environ 46 minutes après, Kelp DAO a suspendu d'urgence la multisignature, interceptant avec succès deux tentatives suivantes d'attaque visant à déployer 40 000 rsETH (environ 100 millions de dollars).

L'attaquant a obtenu des fonds initiaux via Tornado Cash, puis a construit précisément un paquet de données inter-chaînes, appelant la fonction lzReceive du contrat LayerZero EndpointV2, ce qui a déclenché la libération d'actifs par le contrat de pont Kelp — cependant, aucune personne n’a jamais déposé de rsETH sur la chaîne source, cette instruction étant purement falsifiée.

2. Origine de la vulnérabilité : un défaut critique dans la configuration inter-chaînes

La cause fondamentale réside dans l’utilisation par Kelp DAO d’une configuration simplifiée en 1/1 DVN (nœud de validation unique), plutôt que la validation multi-signatures recommandée par LayerZero (2/2), permettant à un seul validateurs de confirmer un message inter-chaînes. Après avoir contourné la validation, l’adaptateur de pont n’a pas effectué une vérification stricte de la provenance du message, croyant à tort que des actifs équivalents étaient verrouillés sur la chaîne source, ce qui a permis d’exécuter la commande de libération — en réalité, il s’agissait d’un "minting sans garantie" sans collatéral.

3. Impact en chaîne : créances douteuses sur Aave et panique du marché

L’attaquant a rapidement utilisé les rsETH volés comme collatéral dans des protocoles de prêt comme Aave V3, Compound, Euler, empruntant environ 236 millions de dollars en WETH/ETH réel. Étant donné que rsETH est une émission fictive, ces positions de prêt sont devenues des créances irrécouvrables : Aave a supporté environ 177 à 196 millions de dollars, Compound environ 39,4 millions, Euler environ 84 000 dollars.

Aave a immédiatement gelé le marché rsETH, mais cela a déclenché une panique massive de retrait, avec plus de 5,4 milliards de dollars d’actifs retirés d’Aave, le taux d’utilisation des fonds ETH ayant atteint 100 %. La TVL d’Aave est passée d’environ 26,4 milliards à 20,7 milliards de dollars, le token AAVE a chuté de plus de 10 %.

4. Réflexion sectorielle : le risque systémique de la structure LEGO en DeFi

Cette attaque ne provient pas d’une faille classique de contrat intelligent, mais a révélé la double vulnérabilité de la sécurité de la configuration des ponts inter-chaînes et de la logique de collatéralisation des LRT (tokens de staking liquide). L’incident de Kelp DAO est le deuxième en avril après celui de Drift Protocol (285 millions de dollars), sans compter la perte de 284 millions de dollars d’un seul phishing en janvier, soulignant que le secteur DeFi fait face à des défis de sécurité de plus en plus complexes. La valeur sous-jacente de rsETH, en tant qu’actif emballé de type LRT, dépend de la sécurité du pont inter-chaînes, et des protocoles de prêt comme Aave incluent ces actifs à haut risque dans leur liste de collatéraux, ce qui entraîne une transmission asymétrique du risque le long de la chaîne protocolaires. En cas de faille sous-jacente, l’impact peut se propager instantanément à l’ensemble de l’écosystème de prêt.

L’événement a également déclenché une réaction en chaîne : plusieurs projets comme Solv ont annoncé la suspension des ponts liés à LayerZero, et Curve Finance a temporairement désactivé l’infrastructure LayerZero. LayerZero a indiqué qu’ils enquêtaient sur la cause racine et publieront conjointement un rapport d’analyse complet.

Le fondateur de Kelp DAO, Charlie, a publié sur X (Twitter) en admettant que l’équipe avait commis une erreur en utilisant une configuration DVN 1/1, et a précisé qu’un plan de compensation intégrale serait mis en place pour tous les utilisateurs affectés, sans recourir à la solution de "partage socialisé des pertes" souvent évoquée par la communauté. Il a souligné que, bien que la récupération des actifs soit difficile, la responsabilité principale est de protéger les droits des utilisateurs, et que les détails de la compensation seront communiqués rapidement.

Cet incident rappelle une fois de plus que dans la DeFi : lorsque la complexité de l’interconnexion des actifs entre protocoles augmente, chaque faiblesse de la structure LEGO peut faire exploser tout le système. Le marché doit adopter des normes de gestion des risques plus strictes, un cadre de sécurité plus conservateur, et des stratégies de configuration inter-chaînes plus prudentes — sinon, la prochaine fois, la perte pourrait dépasser largement 292 millions de dollars. #Gate13周年现场直击