Des hackers nord-coréens ont dérobé une fortune à une plateforme de la finance décentralisée. En exploitant une faille, ils se sont envolés avec 293 millions de dollars. L’argent va venir gonfler les caisses de la Corée du Nord.
Dans la nuit du 18 au 19 avril 2026, KelpDAO a été victime d’une cyberattaque. La plateforme de finance décentralisée a détecté une activité suspecte sur ses transactions sur la blockchain. Elle s’est vite rendu compte que des pirates étaient parvenus à s’introduire dans ses systèmes.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
— Kelp (@KelpDAO) April 18, 2026
Pour arriver à leurs fins, les attaquants sont passés par le pont LayerZero, une infrastructure qui permet à différentes blockchains d’échanger des instructions entre elles. Les ponts, indispensables au fonctionnement de la finance décentralisée, sont à l’origine d’une grande partie des incidents de sécurité. Les pirates ont réussi à injecter un faux message sur le pont, qui a été validé par l’infrastructure. Le mécanisme de sécurité de KelpDAO ne requérait pas de vérifications multiples avant de valider une transaction, ce qui a permis aux pirates de détourner des fonds.
— Kelp (@KelpDAO) April 20, 2026
À lire aussi : Une alliance pirate historique – les hackers russes et nord-coréens unissent leurs forces pour semer le chaos
Le plus gros hack de l’année dans la crypto
Au cours de l’attaque, les attaquants ont pu voler environ 116 500 rsETH, un token qui représente de l’Ether sur le bridge LayerZero, soit 293 millions de dollars. C’est le plus important vol ayant frappé le monde des cryptomonnaies cette année. Une fois les fonds dérobés, les hackers ont utilisé Tornado Cash, un service de mixage de cryptomonnaies, pour brouiller les pistes. Ce type d’outils mélange les cryptomonnaies de manière à ce que les autorités ne puissent pas remonter jusqu’à l’adresse blockchain qui reçoit les fonds.
« La priorité absolue de Kelp reste la protection de ses utilisateurs et la limitation de toute contagion au sein de l’écosystème DeFi. Nous travaillons en étroite collaboration avec l’ensemble des partenaires de l’écosystème afin d’évaluer l’étendue de l’impact, de mobiliser les ressources nécessaires et d’explorer toutes les pistes d’atténuation disponibles », explique KelpDAO dans un billet d’analyse.
Dès le lendemain de la cyberattaque, LayerZero a publiquement désigné la configuration de sécurité insuffisante de KelpDAO comme vecteur principal de l’attaque. De son côté, KelpDAO a rejeté ces accusations, renvoyant plutôt la responsabilité du piratage vers LayerZero.
— LayerZero (@LayerZero_Core) April 20, 2026
L’attaque a également eu des répercussions au-delà de KelpDAO. Les protocoles de prêt comme Compound, Euler et Aave ont été touchés. Ils ont été obligés de prendre des mesures pour se protéger contre les attaques.
Update on rsETH incident:
WETH reserves on the Ethereum Core V3 market have been unfrozen and users can supply WETH to Ethereum Core V3 again. WETH LTV remains at 0.
WETH reserves on Ethereum Prime, Arbitrum, Base, Mantle, and Linea remain frozen.
Aave service providers will…
— Aave (@aave) April 21, 2026
Une cyberattaque signée Lazarus
D’après les premiers éléments de l’enquête de LayerZero, l’attaque porte les marques du groupe Lazarus. Mandatés par le régime nord-coréen, les pirates multiplient les attaques à l’encontre des protocoles crypto depuis plusieurs années. Ils sont aussi à l’origine du hack du Ronin Network ou du piratage de Bybit l’an dernier. Récemment, ils ont volé des données et des cryptos à Bitrefill, une plateforme de e-commerce qui permet aux utilisateurs de dépenser leurs actifs numériques, ainsi qu’à la plateforme Drift Protocol. Plus de deux milliards de dollars de cryptomonnaies ont été dérobés par Lazarus en 2025. Depuis 2017, et les premiers hacks, 6,75 milliards de dollars ont été subtilisés par le gang.
Selon les experts de LayerZero, l’attaque a été commanditée par l’unité de Lazarus spécialisée dans les vols de cryptomonnaies, TraderTraitor. Selon les Nations-Unies et plusieurs analyses de la blockchain, la Corée du Nord utilise les cryptomonnaies volées par Lazarus pour financer son programme d’armement nucléaire et balistique.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.