293 millions de dollars siphonnés : Comment l'exploitation du restaking Kelp est devenue l'une des pires attaques de la DeFi

Un autre jour, une autre brèche énorme dans le bilan de la DeFi, cette fois-ci due à une attaque contre la plateforme de restaking Kelp, entraînant la perte de 293 millions de dollars suite à un exploit du protocole à travers huit types de comptes différents. Malheureusement, la vulnérabilité étant active et n'ayant pas pu être vérifiée avant que les protocoles sous-jacents et la blockchain ne puissent être signalés comme "urgence" et verrouillés, les hackers ont pu extraire des fonds de la plateforme Kelp sans que les protocoles en question n'aient pu l'empêcher.

Le restaking englobe de nombreux aspects des stratégies les plus innovantes de génération de rendement de la DeFi, en vous permettant d'utiliser vos actifs déjà stakés afin de générer des revenus supplémentaires provenant de différentes sources simultanément.

Le restaking représente un risque élevé en raison de la complexité des systèmes associés (plusieurs éléments mobiles), des interactions de contrats et donc de davantage d'opportunités d'exploits de vulnérabilités.

La combinaison de tous ces facteurs crée une situation idéale pour les hackers afin d'exploiter les vulnérabilités de Kelp, leur permettant de voler avec succès les fonds des utilisateurs de leurs comptes.

Comment l'attaque s'est déroulée

L'adversaire a exploité une vulnérabilité dans la gestion de l'interaction entre les Jetons de Staking Liquide (LST) qui étaient utilisés pour une efficacité maximale du capital via le Restaking, ainsi qu'entre les LST réels sur la blockchain Ethereum et les divers contrats sous-jacents des Jetons de Staking Liquide. Le hacker a réussi à modifier la logique comptable interne qui détermine la valeur apportée par les Jetons de Staking Liquide au protocole.

L'exploitation du modèle de manipulation de prix/d'inflation des LST est une méthode d'attaque bien connue via d'autres protocoles DeFi, et a déjà été signalée dans plusieurs contextes auparavant. L'attaquant y parvient en exploitant une disparité entre le prix qu'un protocole DeFi attribue à la valeur du LST et le prix auquel le LST peut être négocié sur le marché libre. Par la suite, l'attaquant est en mesure d'extraire plus du protocole qu'il n'avait initialement déposé, profitant ainsi de l'effort que d'autres ont fourni pour utiliser le protocole DeFi et/ou la banque.

Lors de l'incident de Kelp, l'attaquant a exploité le contrat de pont d'adaptateur rsETH — le code logiciel qui gère le jeton rsETH de Kelp — et a vidé la plateforme d'environ 293 millions de dollars de fonds, selon la société de sécurité blockchain Cyvers. Au moment où l'équipe de Kelp a compris la situation et a commencé à mettre les contrats en pause, la plupart des 293 millions de dollars volés avaient déjà été retirés.

Après avoir extrait les fonds, l'attaquant a converti environ 250 millions de dollars des fonds volés en Ether via une adresse financée par Tornado Cash, de manière très complexe pour rendre le traçage difficile pour les enquêteurs. Bien que les enquêteurs aient commencé à suivre les traces de l'argent quelques heures après le vol, la rapidité avec laquelle l'attaquant a blanchi l'argent volé indique qu'il était bien préparé pour exécuter ce plan, et que ce n'était donc pas une action spontanée ou impulsive de sa part.

À quoi ressemble réellement le risque de restaking

L'essor du restaking a été l'un des domaines à la croissance la plus rapide dans la finance décentralisée (DeFi) au cours des deux dernières années. L'idée a gagné du terrain avec le lancement du mainnet d'Eigenlayer, qui a permis aux stakers d'Ethereum d'étendre les garanties de sécurité de leur ETH staké à d'autres protocoles en échange d'un rendement supplémentaire. EigenLayer est passé de 1,1 milliard de dollars à plus de 18 milliards de dollars en TVL tout au long de 2024-2025, représentant désormais plus de 85 % du marché global du restaking.

Par exemple, Kelp est une plateforme construite sur cette infrastructure, offrant aux utilisateurs un accès direct aux positions de restaking et éliminant la nécessité pour eux de gérer cette complexité.

En raison du potentiel de rendement, des capitaux importants ont afflué très rapidement vers ce type d'investissement. À divers moments, Kelp a détenu environ 1,07 milliard de dollars en valeur totale verrouillée (TVL), ce qui en faisait le deuxième acteur le plus important de l'écosystème EigenLayer.

Bien que de nombreuses améliorations aient été apportées à la technologie blockchain au fil du temps, il existe toujours des défis liés à la gestion des risques en raison des changements et des avancées continues dans l'industrie. Par exemple, le risque est une partie inhérente à tout projet blockchain. Il existe plusieurs motivations pour créer des risques ; l'une d'elles est de construire une entreprise basée sur l'incitation des gens à utiliser votre produit. Il existe de multiples couches de complexité impliquées dans la gestion des risques. Pour chaque couche de complexité supplémentaire qui contribue à générer du rendement, une couche de risque supplémentaire apparaît.

Lorsqu'il s'agit d'une simple position de staking via un nœud validateur, il n'y a qu'un seul mode de défaillance : le slashing de validateur. Cependant, lorsqu'il s'agit d'une position de restaking qui est liée par un jeton de staking liquide et acheminée via un pool agrégé où les jetons peuvent être alloués à plusieurs services de validateur actifs, alors tous les modes de défaillance des services individuels ont des interdépendances les uns avec les autres parce qu'ils sont tous soumis au même risque sous-jacent.

Les modèles de risque sont très difficiles à concevoir et à mettre en œuvre avant d'implémenter des stratégies en raison de la multitude de modes de défaillance potentiels au sein d'un modèle de risque donné. Les pratiques d'audit générales peuvent être utiles pour détecter/traiter la majorité des défauts qui peuvent exister dans un système ou un produit donné, mais l'audit seul ne garantit pas que la spécification contractuelle sous-jacente est satisfaite. En revanche, la vérification formelle peut fournir un certain niveau d'assurance que la spécification sous-jacente a été satisfaite, mais elle ne peut pas rendre compte de la façon dont un contrat peut se comporter lors d'interactions avec d'autres contrats pendant différentes séquences de transactions.

De plus, la nature concurrentielle de l'écosystème de la Finance Décentralisée (DeFi) incite les entreprises à fournir des solutions rapides qui leur permettent de gagner en liquidité par rapport à leurs concurrents. Les entreprises choisissent souvent de limiter leur niveau de diligence raisonnable nécessaire pour soutenir le développement d'infrastructures de grande valeur dans leur environnement concurrentiel.

Le schéma plus large que personne ne veut reconnaître

La DeFi a maintenant produit suffisamment d'exploits majeurs pour en tirer de réelles conclusions, et l'une d'elles est inconfortable : le code audité fonctionnant sur des blockchains publiques avec des centaines de millions de dollars verrouillés à l'intérieur est une cible extraordinairement attrayante pour des attaquants sophistiqués qui possèdent à la fois la capacité technique et la motivation financière de trouver des vulnérabilités que les cabinets d'audit ont manquées. L'exploit de Kelp est maintenant le plus grand hack DeFi de 2026, survenant au milieu d'une augmentation plus large des attaques DeFi qui ont déjà poussé les pertes de l'année au-delà de 450 millions de dollars sur environ 45 protocoles.

La transparence qui rend la DeFi philosophiquement attrayante — code open source, transactions publiques, logique vérifiable — est aussi ce qui permet aux attaquants d'étudier les protocoles cibles aussi longtemps qu'ils le souhaitent sans que personne ne sache qu'ils le font. Les systèmes internes d'une institution financière traditionnelle sont au moins partiellement masqués. Les contrats d'un protocole DeFi sont lisibles par tous, y compris par ceux qui veulent les vider.

Ce n'est pas un argument contre la DeFi. C'est un argument pour être honnête sur ce à quoi ressemble réellement le profil de risque de ces plateformes, d'autant plus qu'elles attirent des capitaux de particuliers qui ne comprennent pas nécessairement qu'« audité » ne signifie pas « sûr ». La contagion de l'exploit de Kelp a provoqué la sortie de plus de 5,4 milliards de dollars d'ETH d'Aave, avec des taux d'utilisation de WETH atteignant 100 % et le prix du jeton AAVE chutant jusqu'à 92 dollars.

Les utilisateurs de Kelp ne se sont pas inscrits pour perdre 293 millions de dollars. Ils se sont inscrits pour du rendement. La distance entre ces deux résultats est l'endroit où résident les problèmes non résolus les plus ardus de la DeFi.