Neuf protocoles DeFi gelés après un exploit KelpDAO rsETH de 293 millions de dollars

• L’attaquant draine 116 500 ETH d’une valeur de 293 millions de dollars puis dépose des rsETH sur Aave en garantie.
• Neuf protocoles gèlent simultanément des marchés, dont Aave, SparkLend et Euler.
• Le multisig KelpDAO a mis 46 minutes à geler les contrats sans déclaration publique pendant trois heures.

Un seul exploit sur le pont cross-chain rsETH de KelpDAO a gelé neuf protocoles DeFi majeurs, créé de mauvaises créances sur Aave et provoqué des ondes de choc dans le secteur du restaking liquide.

L’assaillant a vidé 116 500 ETH, d’une valeur d’environ 293 millions de dollars, depuis le pont de KelpDAO lors d’une opération coordonnée. En quelques minutes, le rsETH volé a été déposé dans Aave en garantie pour emprunter de l’ETH, créant une dette douteuse que le protocole doit désormais absorber. Les portefeuilles de l’attaquant ont été financés par Tornado Cash, le mélangeur de la vie privée, indiquant une exécution prévoyée plutôt qu’un vol opportuniste.

Le multisig d’urgence de KelpDAO a gelé les contractions centrales du protocole 46 minutes après la fin de la vidange. L’équipe n’a publié aucune déclaration publique pendant près de trois heures après le début de l’incident.

La cascade que personne ne voulait

L’exploit unique a touché neuf protocoles simultanément :

• Aave V3 — gel des marchés rsETH, exposition potentielle à la dette douteuse
• SparkLend — marchés en pause
• Gagner Lido via la méta-vault de stratégie Mellow — figé
• Fluide — les marchés sont en pause
• Composés — marchés en pause
• Euler — les marchés sont en pause
• Passage à la hausse — mise en pause des coffres d’ETH à haute croissance et de gain de varech
• Jetons Pendle PT et YT — affectés
• Des stratégies robustes — possiblement aussi Yearn et LayerZero

La nature interconnectée de l’infrastructure de reprise liquide de DeFi signifiait qu’un actif compromis se propageait instantanément à travers chaque protocole acceptant rsETH comme garantie ou intégré aux coffres de KelpDAO.

Où en sont les choses

Aave a confirmé que rsETH sur le mainnet Ethereum reste entièrement soutenu et que l’exposition à l’incident est limitée. Les réserves WETH restent gelées sur Ethereum, Arbitrum, Base, Mantle et Linea pendant que l’équipe valide les informations et évalue les options de résolution.

Bitget a confirmé qu’il surveille la situation de près et a averti les utilisateurs d’une volatilité accrue des jetons associés.

KelpDAO a indiqué qu’elle collabore avec LayerZero, Unichain, des auditeurs et des experts en sécurité sur une analyse des causes profondes. L’enquête est en cours.

En lien : Un analyste signale un remaniement du week-end, affirme que 72 000 $ pourraient stimuler le potentiel de hausse du Bitcoin

La ligne critique que personne ne peut franchir

Le fondateur de OneKey, Yishi, a exposé le cadre de reprise . Sa liste de priorités commence par négocier une prime de 10 à 15 % avec l’attaquant pour récupérer la majeure partie des fonds. Si cela échoue, il estime que le fonds de l’écosystème LayerZero devrait couvrir la majorité des pertes grâce à ses ressources plus importantes et à sa participation à plus long terme dans la crédibilité de DeFi.

KelpDAO, qu’il a décrit comme la partie la plus faible dans cette situation, devrait rémunérer les utilisateurs via des tokens et un partage futur des revenus, ou envisager de vendre l’ensemble du projet à LayerZero ou à un autre acquéreur. Mais une ligne, soutenait-il, ne peut être franchie en aucune circonstance.

« Les déposants WETH ne peuvent absolument pas se faire couper les cheveux », a déclaré Yishi. Toute perte imposée aux déposants WETH déclencherait simultanément des cascades de revalorisation sur Morpho, Spark, Fluid et Euler, mettant effectivement sur liste noire l’ensemble du secteur des tokens de reprise liquide et reculant la DeFi de plusieurs années.

À lire aussi : Trump signale un cessez-le-feu en doute, les marchés deviennent volatils