Le hack Kelp à 292 millions : le moment où la DeFi a montré ses failles
En moins d’une heure, près de 300 millions de dollars ont disparu. Pas à cause d’un bug classique, pas d’un hack sophistiqué de smart contract, mais d’un problème bien plus inquiétant : une faille d’architecture. L’exploit de Kelp DAO, survenu mi-avril, n’est pas seulement le plus gros hack DeFi de 2026, c’est surtout un révélateur brutal des limites du système.
Tout part d’un mécanisme clé de la finance décentralisée : les bridges, ces infrastructures qui permettent de transférer des actifs entre différentes blockchains. Kelp DAO, un protocole de “restaking” basé sur Ethereum, utilisait un bridge construit avec LayerZero pour faire circuler son token rsETH sur plusieurs réseaux. C’est précisément là que tout s’est joué.
L’attaquant n’a pas “cassé” le code. Il a envoyé un faux message cross-chain, validé comme légitime par le système. Résultat : le protocole a créé de toutes pièces 116 500 rsETH, soit environ 292 millions de dollars, sans aucune réserve derrière. Autrement dit, de l’argent fantôme. En moins de 46 minutes, tout était exécuté. Mais le vrai problème commence après.
Ces tokens, pourtant sans valeur réelle, ont été utilisés comme collatéral sur des plateformes majeures comme Aave. L’attaquant a pu emprunter des centaines de millions en ETH bien réels avant que le marché ne réalise que le rsETH était devenu toxique. Résultat : des pertes massives… y compris pour des utilisateurs qui n’avaient jamais interagi avec Kelp. C’est là que la DeFi montre sa faiblesse systémique.
L’effet domino est immédiat. Aave encaisse près de 200 millions de dollars de dette irrécouvrable, et plus de 6 milliards quittent la plateforme en 24 heures dans un mouvement de panique. Ce n’est plus un hack isolé, c’est un début de bank run version crypto. Et pourtant, le plus frappant, c’est la cause. Pas une attaque ultra-technique, mais un choix de design : un système de validation basé sur un seul validateur. Une seule signature suffisait pour autoriser les transferts. Un point de défaillance unique… sur une infrastructure censée sécuriser des milliards. Ce hack pose une question simple. La DeFi est-elle vraiment décentralisée ?Car dans les faits, beaucoup de ces protocoles reposent encore sur des points de contrôle centralisés, mal sécurisés ou mal configurés. Le discours est décentralisé. L’infrastructure, beaucoup moins. Et ce n’est pas un cas isolé.
Depuis début 2026, les hacks se multiplient, avec une hausse de près de 70 % des incidents par rapport à l’année précédente. Mais surtout, leur nature change. On ne vole plus seulement du code, on exploite des systèmes, des interconnexions, des dépendances invisibles.
C’est ça, le vrai tournant. La DeFi n’est plus un ensemble de protocoles isolés. C’est un réseau interconnecté. Et dans ce réseau, une seule faille peut contaminer tout le reste.
Le hack Kelp n’est donc pas juste une attaque de plus.
C’est un crash test.
Et pour l’instant, le système n’a pas vraiment tenu.
Photo : Pexels
