Incidents de sécurité

LayerZero a indiqué que l’exploitation du Kelp DAO, attribuée au groupe Lazarus de la Corée du Nord, a entraîné une perte de $292 millions de tokens rsETH en raison de vulnérabilités dans son réseau de vérificateurs décentralisés. De plus, eth.limo a fait l’objet d’une prise de contrôle de domaine via une attaque d’ingénierie sociale, mais la fonctionnalité DNSSEC a limité les dégâts importants.

Un piratage récent qui a vidé près de $300 millions d’un projet crypto a entraîné une crise de liquidité sur Aave, poussant les utilisateurs à retirer environ $9 milliards. Des inquiétudes concernant la qualité des garanties ont suscité des retraits massifs, mettant en évidence les risques des prêts DeFi.

Une attaque coordonnée de phishing sur Ethereum a soutiré 585 000 $ à quatre victimes, en exploitant les autorisations des utilisateurs via un lien trompeur. Cet incident met en évidence la perte rapide de fonds par ingénierie sociale, même sous l’apparence de la légitimité.

La plateforme de développement cloud Vercel a été piratée le 19 avril. Les attaquants ont obtenu des droits d’accès via un outil d’IA tiers utilisé par les employés, et ont menacé de rançonner 2 millions de dollars. Bien que des données sensibles n’aient pas été consultées, d’autres données auraient pu être exploitées. L’incident a suscité des inquiétudes au sein de la communauté crypto au sujet de la sécurité ; Vercel mène actuellement une enquête et recommande aux utilisateurs de remplacer leurs clés.

KelpDAO a subi une perte de $290 million due à une faille de sécurité sophistiquée liée au groupe Lazarus. L’attaque a exploité des faiblesses de configuration dans leur système de vérification et a mis en évidence les risques liés au recours à une configuration de vérification à point unique. Des experts du secteur soulignent la nécessité d’améliorer les configurations de sécurité et de mettre en place une vérification multi-couches afin de prévenir de futurs incidents.

LayerZero a publié une déclaration concernant l’incident de piratage de 292 millions de dollars subi par Kelp DAO, affirmant que la configuration Kelp de 1-of-1 DVN autoselectionné a rendu l’événement possible, et que l’attaquant est le groupe nord-coréen Lazarus. LayerZero souligne que cet incident provient du choix de configuration, et qu’il ne prendra plus en charge ce type de configuration vulnérable. De plus, la question de l’attribution des responsabilités demeure controversée, sans proposer de plan d’indemnisation.

En avril 2026, en seulement 20 jours, les protocoles cryptographiques ont subi des pertes de plus de 606 millions de dollars à cause d’attaques de pirates, devenant le pire record de pertes mensuelles depuis l’incident de fuite de données de 1,4 milliard de dollars lié aux exchanges en février 2025. Les deux attaques, KelpDAO et Drift Protocol, représentent à elles seules 95% des pertes d’avril, ainsi que 75% des pertes totales de 771,8 millions de dollars enregistrées à ce jour en 2026.

Vercel a confirmé qu'une brèche de sécurité était due à un outil d'IA compromis, entraînant le vol des données des employés et des clients. L'incident présente des risques pour l'écosystème Web3, et l'attaquant tente de vendre les données volées pour $2 million. Vercel gère la situation avec les forces de l'ordre et des experts en réponse aux incidents.

David Schwartz, CTO émérite chez Ripple, a analysé les vulnérabilités de sécurité des bridges après l’exploit du $292 million de Kelp DAO. Il a noté que les prestataires donnaient la priorité à la commodité plutôt qu’à une sécurité robuste, ce qui a sapé des fonctionnalités de protection essentielles. L’atteinte à Kelp DAO provenait d’une fuite de clé privée, aggravée par une configuration de sécurité simplifiée dans leur implémentation LayerZero.

Le jeton de ré-approvisionnement de liquidité rsETH de Kelp DAO a été attaqué le 19 avril par des pirates ayant exploité une faille dans la vérification des messages inter-chaînes. Cela a entraîné le déblocage de 116,500 rsETH vers des adresses contrôlées par l’attaquant. Plusieurs protocoles DeFi ont immédiatement gelé les fonctions concernées afin de faire face aux pertes potentielles. LayerZero a indiqué officiellement qu’il était en train de corriger activement la faille et qu’un rapport d’analyse post-incident serait publié.

En 2025, la France a documenté 41 enlèvements liés aux crypto-monnaies dans un contexte de hausse des « attaques au pied-de-biche », entraînant un renforcement accru de la sécurité autour des événements blockchain. Les incidents mondiaux de coercition ont augmenté de 75 %, la France en tête en nombre de cas. Des efforts pour améliorer la sûreté et répondre aux inquiétudes concernant la volonté de devenir un pôle crypto sont en cours.

Le domaine eth.limo a subi un piratage DNS le 17 avril, l’attaquant se faisant passer pour un membre de l’équipe a réussi à amener le registraire EasyDNS à exécuter une restauration de compte. Bien que cet incident n’ait pas eu d’impact sur les utilisateurs, car l’attaquant n’a pas obtenu les clés DNSSEC, il n’a pas pu contourner la chaîne de confiance. Cet incident met en évidence les risques d’ingénierie sociale dans le domaine de la cryptographie et a poussé eth.limo à se tourner vers le service Domainsure, qui ne prend pas en charge la récupération de comptes, afin de renforcer la sécurité.

Curve Finance, en raison d'une attaque contre des infrastructures de base LayerZero liées à rsETH, a suspendu la fonctionnalité inter-chaînes afin de prévenir les risques, ce qui affecte le pontage inter-chaînes de CRV et le pontage rapide de crvUSD. Le fondateur Egorov a indiqué que cet incident met en évidence les risques des « prêts non isolés », et a proposé un mode de cloisonnement total comme solution de remplacement. Kelp DAO a quant à lui subi une perte d'environ 292 millions de dollars à la suite de l’attaque, ce qui a affecté les activités de prêt de la plateforme Aave.

Le pont inter-chaînes du protocole de ré-approvisionnement de liquidité Kelp a été attaqué, entraînant le vol de 116 500 rsETH, puis le dépôt de ces fonds dans Aave V3, créant environ 196 millions de dollars de créances douteuses. Le contrat d’Aave n’a pas été touché, mais cet incident révèle un risque systémique pour les garanties des LRT, exigeant que les protocoles DeFi réévaluent leurs modèles de risque, ce qui pourrait exposer les détenteurs de stkAAVE à des pertes.

Un exchange décentralisé Orca annonce avoir finalisé la rotation des clés, et confirme la sécurité des fonds des utilisateurs ; cette décision fait suite à une attaque visant la plateforme cloud Vercel. Le vecteur d’attaque consiste à utiliser une intégration OAuth d’outils tiers d’IA pour accéder au système Vercel ; une faille de chaîne d’approvisionnement rend les mesures de sécurité traditionnelles difficiles à détecter. Vercel invite les utilisateurs à examiner les variables d’environnement afin de renforcer la protection de sécurité, et souligne que la dépendance des projets cryptographiques à l’infrastructure cloud crée de nouveaux risques de sécurité.

L’accord de réserve a été suspendu le 20 avril concernant la frappe de l’eUSD et de l’USD3 ainsi que les opérations de désengagement de RSR en raison de l’incident d’attaque du rsETH par Kelp DAO, mais la fonction de rachat fonctionne normalement. L’attaque a provoqué une crise de liquidité d’Aave, avec une forte diminution des dépôts, et le prix du token AAVE a chuté.

Orca, le protocole de liquidité Solana, a répondu à un incident de sécurité chez son hébergeur, Vercel, en faisant tourner des clés compromises. Ils ont confirmé que les fonds des utilisateurs n’étaient pas affectés et fourniront des mises à jour à mesure que la situation évoluera.

Un attaquant a exploité une vulnérabilité dans le pont inter-chaînes de Kelp DAO, dérobant $293 million en rsETH non adossés. L’incident a causé des pertes importantes pour les plateformes DeFi, Aave faisant face à jusqu’à $236 million de créances douteuses et à des impacts substantiels sur le marché.

Le chercheur en crypto Orbion soulève des inquiétudes concernant la possible manipulation de certains indicateurs clés du marché, notamment l’Altseason Index et l’indice Crypto Fear and Greed, en suggérant que des métriques gonflées créent une fausse euphorie et induisent les investisseurs en erreur quant au début de la saison des altcoins.

Curve Finance a temporairement suspendu son infrastructure LayerZero à la suite d’un incident de sécurité impliquant rsETH. Le protocole enquête sur le problème, ce qui affecte certaines opérations de pontage inter-chaînes, tandis que d’autres continuent normalement.