#rsETH攻擊事件後續進展

Le 18 avril 2026, un incident de sécurité majeur s’est produit avec le jeton de ré-encours de liquidité rsETH de Kelp DAO, déclenchant une crise systémique grave dans l’histoire de la DeFi. Voici les dernières avancées au 26 avril 2026 :
Noyau de l’incident et état actuel
Amplitude des pertes : Les hackers ont exploité une vulnérabilité de configuration dans la vérification à signature unique ( du pont inter-chaînes LayerZero DVN ), créant de fausses instructions et forant 116 500 rsETH (environ 292 millions de dollars).
Flux de fonds : Les hackers ont déposé ces « rsETH d’air » non garantis dans des protocoles de prêt comme Aave V3 en tant que collatéral, empruntant des actifs réels d’une valeur d’environ 190 millions de dollars (comme wETH), ce qui a entraîné une créance douteuse d’environ 177 à 200 millions de dollars pour Aave.
Mesures actuelles : Les contrats liés à rsETH sont actuellement gelés sur le réseau principal Ethereum et plusieurs L2 (tels qu’Arbitrum, Base, Mantle), Aave ayant suspendu le marché rsETH pour éviter une extension des pertes.

Progrès en matière de secours et de compensation : Mécanisme DeFi United
Pour restaurer le support d’actifs de rsETH, plusieurs protocoles ont lancé une action conjointe :
Création du mécanisme DeFi United : dirigé par Aave, en collaboration avec plusieurs protocoles pour aider, visant à combler un déficit d’environ 258 millions de dollars.
Engagements financiers : Au 24 avril, ce mécanisme a reçu environ 101 millions de dollars en promesses d’intention, certains protocoles étant en phase de vote DAO.
Lancement du fonds de récupération : Selon les dernières informations, Aave a lancé le 26 avril un fonds de récupération destiné à restaurer le support total des actifs de rsETH.

Voies potentielles de traitement (en discussion)
Les analystes (comme 0xngmi, fondateur de DefiLlama) ont proposé trois principales voies de réparation, qui ne sont pas encore finalisées :
Option 1 : Amortissement complet : tous les détenteurs de rsETH partageraient la perte, avec une dépréciation estimée à environ 18,5 %.
Option 2 : Abandon du L2 : ne garantir que rsETH sur le réseau principal Ethereum, laissant les détenteurs de L2 assumer eux-mêmes la perte (ce qui pourrait entraîner l’effondrement de l’écosystème L2).
Option 3 : Compensation par snapshot : ne compenser que les « vrais détenteurs » avant l’attaque, mais cela est extrêmement difficile à mettre en œuvre dans une structure de pool DeFi.

Suivi des responsabilités et enquête technique
Identité des hackers : Le rapport initial sur l’incident LayerZero détermine que l’attaquant est probablement un membre du groupe Lazarus, une organisation de hackers nord-coréenne, sous le nom de TraderTraitor.
Vulnérabilité technique : Il ne s’agit pas d’une erreur dans le code du contrat, mais d’une configuration trop fragile du « nœud de vérification unique » par Kelp DAO. Les hackers ont lancé une attaque DDoS pour paralyser les nœuds RPC normaux, forçant le système à basculer vers un nœud contrôlé par eux pour lire des données falsifiées.

Si vous détenez des actifs affectés, il est conseillé de suivre :
La communauté officielle de Kelp DAO pour obtenir les horaires précis des snapshots et les détails de la récupération.
Le forum de gouvernance d’Aave pour les résultats des votes concernant le financement de « DeFi United ».
$ETH $BTC $DOGE