#ArbitrumFreezesKelpDAOHackerETH

Conseil de sécurité d'Arbitrum gèle $71 millions d'ETH liés à l'exploitation de Kelp DAO
Le 21 avril 2026, le Conseil de sécurité d'Arbitrum a pris une mesure d'urgence sans précédent en gelant 30 766 ETH d'une valeur d'environ $71 millions, marquant une étape importante dans le contexte de l'exploitation massive de Kelp DAO survenue quelques jours plus tôt.

L'exploitation initiale

L'incident a commencé le 18 avril 2026, lorsque des attaquants ont réussi à drainer environ 116 500 rsETH ( ETH restaké) de Kelp DAO, évalué à environ $292 millions. Cette attaque a ciblé l'infrastructure de pont alimentée par LayerZero de Kelp DAO via une compromission sophistiquée du système de vérification du protocole. L'exploitation a exploité une configuration vulnérable du réseau de vérification de données 1-sur-1, où les attaquants ont empoisonné des nœuds RPC et lancé une attaque DDoS sur les systèmes de sauvegarde pour contourner les mesures de sécurité.

Des chercheurs en sécurité et analystes blockchain ont attribué preliminairement l'attaque au groupe Lazarus de Corée du Nord, également connu sous le nom de TraderTraitor, en se basant sur des schémas de financement distinctifs tracés via Tornado Cash et les techniques d'empoisonnement de l'infrastructure du groupe. Il s'agit de la deuxième grande attaque attribuée à Lazarus en trois semaines, et l'une des plus importantes exploits DeFi de 2026.

**L'intervention d'Arbitrum**

Suite à l'exploitation, l'attaquant a transféré une partie importante des fonds volés vers Arbitrum One, consolidant environ 30 766 ETH dans l'adresse 0x5d3919f12bcc35c26eee5f8226a9bee90c257ccc. Cette concentration de fonds a constitué une opportunité critique d'intervention.

Le 21 avril, vers 06h45 UTC, le Conseil de sécurité d'Arbitrum a invoqué ses pouvoirs d'urgence pour effectuer un transfert direct des ETH gelés vers une wallet intermédiaire contrôlée par la gouvernance à l'adresse 0x0000. Le conseil a souligné que cette action a été prise avec l'avis des forces de l'ordre concernant l'identité de l'exploitant et a été exécutée sans impacter d'autres utilisateurs ou applications d'Arbitrum.

L'exécution technique impliquait une transition d'état via des contrats système et du code client mis à jour, consommant environ 21 000 gaz sans générer de logs d'événements. Cette approche a permis au Conseil de sécurité de saisir efficacement les fonds tout en maintenant la stabilité du réseau pour tous les autres participants.

**Impact sur l'écosystème DeFi**

L'exploitation a eu des effets immédiats en cascade dans le paysage de la finance décentralisée. L'attaquant a utilisé le rsETH non garanti comme garantie sur les marchés Aave V3 et V4 sur Ethereum mainnet et Arbitrum, empruntant 52 834 WETH sur Ethereum et 29 782 WETH plus 821 wstETH sur Arbitrum. Cela a créé une crise de créances douteuses estimée entre $123 millions et $230 millions.

En réponse, Aave a rapidement gelé les marchés rsETH sur V3 et V4 dans les heures suivant l'exploitation, empêchant tout dépôt supplémentaire de rsETH en tant que garantie. Le fondateur d'Aave, Stani Kulechov, a confirmé que l'actif ne dispose plus de pouvoir d'emprunt, et la communauté devrait discuter de la possibilité de retirer définitivement rsETH de tous les marchés Aave.

La réponse d'urgence de Kelp DAO a inclus la mise en pause des contrats concernés et la mise sur liste noire des wallets des attaquants, ce qui a permis d'éviter une attaque secondaire ciblant 40 000 rsETH supplémentaires d'une valeur d'environ $95 millions. Le protocole travaille actuellement avec LayerZero, Aave et d'autres parties prenantes sur des plans de récupération complets.

**Débat sur la décentralisation**

L'intervention du Conseil de sécurité d'Arbitrum a suscité un débat intense au sein de la communauté cryptographique concernant la nature de la décentralisation dans les réseaux Layer2. Les critiques ont qualifié cette action de « théâtre de décentralisation », arguant que l'existence de pouvoirs d'urgence capables de geler les fonds des utilisateurs contredit les principes fondamentaux des systèmes blockchain permissionless.

Les partisans répliquent que cette intervention représente une gestion responsable, empêchant des acteurs hostiles d'État de liquider des actifs volés et pouvant atténuer des dommages plus larges sur le marché. Les fonds gelés nécessitent désormais une approbation formelle de la gouvernance pour être déplacés, établissant un processus transparent pour déterminer leur disposition finale.

**Développements en cours**

Alors que le gel d'Arbitrum représente la plus grande récupération de fonds volés à ce jour, l'attaquant continue de déplacer les actifs restants par divers canaux, notamment THORChain et Umbra. La valeur totale verrouillée dans l'écosystème DeFi a chuté fortement après l'exploitation, Ethereum ayant diminué de 17,7 % et Arbitrum de 13,7 %.

Plusieurs protocoles négocient actuellement la répartition des pertes et des stratégies de récupération. L'incident a relancé les appels à renforcer les normes de sécurité des ponts et à améliorer les mécanismes de vérification dans l'infrastructure cross-chain. LayerZero a critiqué publiquement la configuration DVN unique de Kelp DAO, tandis que Kelp DAO affirme que la configuration a été mise en œuvre conformément à la documentation de LayerZero.

Ce cas constitue un moment charnière pour la gouvernance Layer2 et les capacités de réponse d'urgence, établissant un précédent sur la manière dont les réseaux de rollup peuvent répondre à des incidents de sécurité à grande échelle impliquant des acteurs étatiques. Alors que les enquêtes se poursuivent et que les processus de gouvernance se déploient, le résultat influencera probablement les perspectives réglementaires sur les mécanismes d'intervention blockchain et l'équilibre évolutif entre décentralisation et sécurité pratique.