Les hackers responsables de l’exploit KelpDAO ont déjà commencé à blanchir les fonds volés : selon les données on-chain d’Arkham et l’analyste ZachXBT, deux transferts de 117 millions et 58 millions de dollars ont quitté le wallet attaquant sur Ethereum dès le 21 avril. Le montant total dérobé est estimé à 292 millions de dollars, ce qui en fait l’un des plus grands piratages DeFi de ces derniers mois, rejoignant d’autres exploits blockchain majeurs et des réseaux de scams largement démantélés qui ont secoué l’écosystème crypto. 175 M$ ont ensuite été blanchis sur Ethereum après le gel partiel des fonds opéré par Arbitrum. Cet incident a provoqué une paralysie d’Aave et un gel massif de fonds. Ces techniques de blanchiment illustrent comment l’IA et l’ingénierie sociale aggravent les menaces sur la DeFi, une épidémie de hacks déjà record.

Au programme

  • 292M$ dérobés sur KelpDAO : les hackers utilisent Thorchain et le protocole de confidentialité Umbra pour disperser les fonds (Arkham, ZachXBT)
  • Arbitrum gèle 30 766 ETH (environ 71M$) sur Arbitrum One avant qu’ils ne rejoignent Ethereum
  • KelpDAO et LayerZero s’accusent mutuellement, tandis qu’Aave fait face à 200M$ de mauvaise dette
Flux de blanchiment KelpDAO (292M$) Après l'exploit KelpDAO, les fonds ont été transférés en deux lots (117M$ et 58M$) vers Ethereum, puis dispersés via Thorchain vers Bitcoin et via le protocole Umbra. KelpDAO Contrat exploité 292M$ Ethereum Wallet attaquant 1,5M$ Thorchain ETH vers BTC 78 000$ Umbra Protocole privé Arbitrum gèle 30 766 ETH (~71M$) bloqués

Comment le blanchiment a-t-il démarré si vite ?

Dès les premières heures suivant l’exploit, le wallet attaquant a envoyé deux transferts massifs : 117 millions puis 58 millions de dollars sur Ethereum. Environ 1,5 million ont été pontés vers Bitcoin via Thorchain, un protocole décentralisé de swap cross-chain. Un montant supplémentaire de 78 000 dollars a transité par Umbra, un outil de confidentialité.

Ces méthodes correspondent aux tactiques documentées du groupe nord-coréen Lazarus, selon les données on-chain analysées par ZachXBT. Lazarus utilise régulièrement Thorchain pour brouiller l’origine des fonds, comme l’ont montré plusieurs cas antérieurs. Rien ne confirme formellement leur implication ici à ce stade.

“Cross-chain routing and privacy tools are commonly used in the early ‘layering’ stage of laundering, suggesting the attacker may be preparing to further disperse the funds across multiple venues.” - ZachXBT, via CoinDesk

Pourquoi Arbitrum a-t-il gelé 71M$ et pourquoi cette décision est-elle controversée ?

Face à l’urgence, le Security Council d’Arbitrum a pris une mesure exceptionnelle : bloquer 30 766 ETH, soit environ 71 millions de dollars, détenus par l’exploiteur sur Arbitrum One. Les fonds ont été transférés vers une adresse contrôlée par le protocole avant de pouvoir rejoindre Ethereum.

Cette intervention a suscité des réactions partagées. D’un côté, elle illustre la capacité de réponse rapide d’Arbitrum en cas d’urgence. De l’autre, elle rappelle que certains réseaux L2 conservent un degré de centralisation suffisant pour geler des fonds, ce qui divise la communauté DeFi.

Selon BeInCrypto, le gel aurait paradoxalement accéléré le blanchiment sur Ethereum : sachant 71M$ bloqués, le hacker aurait intensifié ses opérations sur le reste des fonds, soit environ 75 700 ETH non gelés.

KelpDAO contre LayerZero : qui est responsable ?

Le différend sur les responsabilités ajoute une couche de complexité. KelpDAO affirme que les paramètres “par défaut” de LayerZero sont à l’origine de la faille. LayerZero réfute cette version. Les deux protocoles s’accusent mutuellement, sans qu’un audit indépendant ait encore tranché.

Les conséquences s’étendent au-delà de KelpDAO. Aave, l’un des principaux protocoles de prêt DeFi, ferait face à jusqu’à 200 millions de dollars de mauvaise dette générée par des liquidations en cascade. Ce type de contagion rappelle que les bridges cross-chain restent un vecteur d’attaque récurrent dans l’écosystème DeFi, comme l’avait déjà montré l’affaire Wormhole.

Lecture CryptoActu Trois des cinq plus gros hacks DeFi récents partagent le même vecteur : une faille dans la messagerie cross-chain. L’affaire KelpDAO-LayerZero pose clairement la question de la responsabilité contractuelle entre protocoles interconnectés, un angle que les régulateurs européens et américains n’ont pas encore adressé.

Questions fréquentes

Qu’est-ce que l’exploit KelpDAO ?

KelpDAO est un protocole DeFi dont le bridge a été exploité pour un montant estimé entre 292 et 293 millions de dollars. La faille aurait impliqué la couche de messagerie cross-chain LayerZero. C’est l’un des plus grands piratages DeFi recensés ces derniers mois.

Pourquoi Arbitrum a-t-il pu geler des fonds ?

Arbitrum dispose d’un Security Council, une instance de gouvernance d’urgence capable d’intervenir sur les fonds du réseau. Ce mécanisme centralisé permet des actions rapides en cas d’exploit, mais soulève des questions sur la décentralisation réelle des réseaux L2.

Comment les hackers blanchissent-ils les cryptos volées ?

Le blanchiment de cryptomonnaies suit souvent un schéma en trois étapes : dispersion initiale, passage par des protocoles de confidentialité (Umbra, Tornado) et conversion cross-chain (Thorchain). Pour comprendre l’ampleur du problème, consulter notre analyse sur le blanchiment d’argent et les transactions Bitcoin.

À retenir

L’exploit KelpDAO à 292 millions de dollars illustre la vulnérabilité persistante des bridges DeFi et la rapidité avec laquelle les fonds volés entrent en phase de blanchiment. À surveiller : les conclusions de l’audit sur la responsabilité LayerZero-KelpDAO et l’exposition réelle d’Aave à la dette générée par les liquidations en cascade.

Sources

Signal Baissier
Impact Majeur
EN DIRECT