Le 18 avril 2026, leKelpDAOLe pont rsETH a été vidé d'environ 292 millions de dollars lors d'une seule attaque coordonnée - et LayerZero était au cœur de cette affaire.

Le hack de LayerZero KelpDAO a immédiatement déclenché une cascade de ponts gelés, une chute de plus de 20 % du prix de ZRO, et une guerre de reproches enflammée qui se poursuit encore.

Deux jours plus tard, LayerZero a publié son rapport d'incident, restauré ses opérations DVN et annoncé un changement de politique radical.

Mais les questions qu'il a soulevées concernant la vulnérabilité des ponts inter-chaînes et les propres paramètres de sécurité par défaut de LayerZero n'ont pas été enterrées avec le post-mortem.

Points clés

• $292M d'exploitation déclenché par des nœuds RPC LayerZero compromis et une configuration DVN 1/1 vulnérable sans redondance.
• LayerZero a rapidement géré l'incident, restauré l'infrastructure et interdit les configurations DVN 1/1 à l'avenir.
• Environ 40 % des protocoles utilisaient la même configuration, soulevant des inquiétudes quant au risque systémique lié aux configurations par défaut.

Commercez en toute confiance. Bitrue est une plateforme sécurisée et fiable. plateforme de trading crypto

pour acheter, vendre et échanger des Bitcoins et des altcoins.

Comment l'attaque a réellement fonctionné

L'attaquant n'a pas utilisé la méthode de force brute sur le protocole. Ils étaient chirurgicaux. D'abord, ils ont identifié les nœuds RPC — les serveurs du Réseau de Vérification Décentralisé (DVN) de LayerZero utilisés pour lireblockchaindonnées.

Alors, ils ont discrètement remplacé le logiciel sur deux de ces nœuds par une versionempoisonnée qui signalait une fausse transaction inter-chaînes comme légitime, tout en fournissant des données précises à tous les autres systèmes interrogeant les mêmes nœuds. Cela a rendu l'intrusion presque invisible pour les outils de surveillance.

Pour finir, ils ont lancé une attaque DDoS contre les nœuds sains, forçant le DVN à passer en mode de basculement — directement vers les points de terminaison compromis. Un vérificateur. Un signal empoisonné. 292 millions de dollars envolés.

Lire aussi : vs

LayerZero vs. KelpDAO : Une guerre de reproches sans vainqueur net

L'affirmation officielle de LayerZero a mis la responsabilité directement sur KelpDAO pour avoir choisi une configuration DVN 1-of-1 — une configuration où un seul vérificateur doit approuver tous les messages inter-chaînes sans aucune redondance.

LayerZeroa déclaré avoir à plusieurs reprises averti KelpDAO d'adopter une architecture multi-DVN et qu'une intégration correctement configurée aurait stoppé l'attaque net. KelpDAO a opposé une forte résistance.

Leur équipe a déclaré qu'elle avait opéré sur l'infrastructure LayerZero depuis début 2024 et que la configuration single-DVN avait été explicitement confirmée comme appropriée lors de communications directes avec l'équipe LayerZero.

Le véritable dommage à la narration de LayerZero ? Sa propre documentation de démarrage rapide et la configuration par défaut de GitHub livrées avec la configuration 1/1 — et 40 % des protocoles actifs l'exécutaient encore au moment de l'exploitation.

Lisez aussi :ChatGPT Prévision du prix XRP pour le T2 2026 : Que faut-il attendre

L'horaire institutionnel ne pourrait pas être pire

Février 2026 devait être la fête de lancement de LayerZero. La société a annoncé Zero — une nouvelle blockchain de niveau 1 conçue pour les marchés institutionnels — soutenue par Citadel Securities, DTCC, la société mère de la Bourse de New York ICE, et Google Cloud.

Le plan était de positionner ZRO comme le token de gaz obligatoire pour une chaîne de 2 millions de TPS ciblant l'infrastructure de règlement de Wall Street.

Un exploit de 292 millions de dollars lié directement à l'infrastructure de pont central de LayerZero, seulement quelques mois avant le lancement de Zero à l'automne 2026, arrive comme un document juridique entre les mains de chaque responsable de conformité au sein de ces entreprises partenaires.

Cathie Wood a qualifié Zero de "complètement différent". La véritable histoire est de savoir si ces engagements institutionnels se maintiendront après le 18 avril.

Lisez aussi :

Est-ce que le portefeuille crypto Trezor est sûr à utiliser en 2026 ?

Ce que LayerZero a changé après l'incident

LayerZero a réagi rapidement pour contrôler les dégâts. Tous les nœuds RPC compromis ont été retirés et remplacés dans les quelques heures.

Les Labs DVN ont été déclarés entièrement opérationnels le 20 avril — une étape qui a déclenché une récupération du prix local ZRO des creux autour de 1,50 $ vers 1,70 $.

Le changement le plus conséquent a été le changement de politique : LayerZero ne signera ni n'authentifiera les messages d'aucune application utilisant une configuration DVN 1/1. C'est une migration forcée au niveau du protocole qui affecte une partie importante de ses intégrations actives.

Le minimum recommandé à l'avenir est une configuration multi-DVN 3 sur 5 utilisant des vérificateurs indépendants tels que les nœuds LayerZero Labs combinés avec Google Cloud et des validateurs de la communauté — nécessitant un consensus entre tous avant qu'un message inter-chaînes soit accepté.

Lisez aussi :Meilleures pièces de meme à surveiller en mai 2026

```html

Conclusion

L'exploit de KelpDAO n'était pas un simple piratage de pont. C'était une attaque d'infrastructure multi-vecteurs, parrainée par l'État, attribuée au groupe Lazarus de la Corée du Nord — spécifiquement à sa sous-unité TraderTraitor — qui a exploité à la fois une application mal configurée et l'infrastructure de nœuds DVN de LayerZero.

La réponse de LayerZero était techniquement solide : elle a restauré les opérations rapidement, éliminé la menace immédiate et contraint une mise à niveau de sécurité à travers son écosystème. Mais le coût pour la crédibilité est réel.

Lorsque les paramètres par défaut de votre plateforme sont livrés avec un point de défaillance unique et que 40% de vos intégrations l'utilisent, vous ne pouvez pas considérer l'ensemble du désastre comme le choix de configuration de quelqu'un d'autre.

La blockchain Zero et ses partenariats institutionnels restent intacts pour l'instant — mais la pression pour prouver une sécurité de qualité entreprise avant l'automne 2026 est passée de simple bruit de fond à une urgence en première page.

Lire aussi :L'or en 2026 : Le meilleur hedge macro-géopolitique

FAQ

Le protocole de base de LayerZero a-t-il été piraté ?

Pas techniquement — l'attaque a ciblé les nœuds RPC que LayerZero Labs exploitait en tant que vérificateurs DVN, et non les contrats intelligents principaux. Cela dit, puisque LayerZero a géré l'infrastructure compromise, qualifier cela simplement d'un « échec au niveau de l'application » est exagéré.

Quel est un DVN et pourquoi est-ce important dans ce contexte ?

Un DVN (Réseau de Vérificateurs Décentralisés) est l'entité qui confirme si un message inter-chaînes est légitime avant qu'un pont n'agisse sur celui-ci. KelpDAO n'en avait qu'un seul — donc une fois que les attaquants ont corrompu son flux de données, il n'y avait pas de deuxième vérificateur pour attraper la transaction frauduleuse.

Les autres protocoles utilisant LayerZero ont-ils été affectés ?

Aucune perte financière directe n'a touché d'autres protocoles, mais Ethena, ether.fi, Tron DAO et Curve Finance ont tous gelé leurs ponts LayerZero par mesure de précaution — et le TVL total de DeFi a chuté de 7 % en 24 heures, passant de 99,5 milliards de dollars à 86 milliards de dollars uniquement à cause de la panique.

Comment cela a-t-il affecté le prix de ZRO ?

ZRO a chuté de plus de 20% pour atteindre les 1,50 $, aggravé par un déblocage de 25,7 millions de jetons ZRO survenant la même semaine. Le prix s'est partiellement rétabli à environ 1,70 $ une fois que LayerZero a confirmé que son DVN était de nouveau en ligne.

Voici la traduction en français tout en préservant le format HTML : ```html

Que devraient faire les utilisateurs de KelpDAO maintenant ?

KelpDAO a suspendu les contrats rsETH sur le mainnet Ethereum et plusieurs L2 - les utilisateurs doivent suivre leurs canaux officiels pour des mises à jour sur la récupération et les délais de relance. LayerZero collabore avec les forces de l'ordre, bien que récupérer 292 millions de dollars d'un acteur soutenu par un État soit peu probable.

Avertissement :