Conseil de sécurité d'Arbitrum gèle 71 millions de USDT liés à un hacker ETH associé à l'exploitation de KelpDAO

#ArbitrumFreezesKelpDAOHackerETH

Le Conseil de sécurité d'Arbitrum a exécuté une intervention d'urgence sans précédent, gelant 30 766 ETH d'une valeur d'environ 71 millions de USDT liés à l'exploitation de KelpDAO survenue le 18 avril 2026. Cette action décisive représente l’un des plus importants gels de fonds dans l’histoire de la DeFi et marque une avancée significative dans la réponse continue à l’attaque du pont rsETH de 292 millions de USDT qui a secoué l’écosystème Ethereum Layer 2.

Contexte de l’exploitation : l’attaque du pont KelpDAO

L’exploitation initiale visait le pont rsETH alimenté par LayerZero de KelpDAO le 18 avril 2026, entraînant une perte d’environ 292 millions de USDT. L’attaquant a mené une opération sophistiquée qui a permis de créer des tokens rsETH non garantis, puis de drainer plus de 200 millions de USDT en WETH réel à partir des protocoles de prêt Aave avant que les marchés ne puissent mettre en place des gels de sécurité.

La méthode d’attaque exploitait des vulnérabilités dans l’infrastructure des ponts inter-chaînes, l’assaillant déposant des rsETH frauduleux en tant que garantie sur les marchés Aave V3 et V4, à la fois sur le réseau principal Ethereum et sur Arbitrum. Plus précisément, l’exploitant a emprunté 52 834 WETH sur Ethereum et 29 782 WETH plus 821 wstETH sur Arbitrum, laissant Aave avec entre 124 millions et 230 millions de USDT en dette douteuse selon les modèles du protocole.

Les investigations en sécurité ont attribué l’attaque au groupe Lazarus de la Corée du Nord, qui a ciblé l’infrastructure DVN de LayerZero Labs en empoisonnant des nœuds RPC en aval. L’attaquant a compromis deux nœuds RPC indépendants fonctionnant sur des clusters séparés, permettant de manipuler les processus de validation des ponts sans connexion directe entre les systèmes compromis.

Réponse d’urgence d’Arbitrum

Le Conseil de sécurité d’Arbitrum a agi le 21 avril 2026, en exécutant des mesures techniques d’urgence pour geler les 30 766 ETH détenus dans l’adresse de l’exploitant sur Arbitrum One. Cette intervention a transféré les fonds dans un portefeuille intermédiaire contrôlé par des mécanismes de gouvernance, empêchant l’attaquant original d’accéder ou de transférer les actifs saisis.

Il était crucial de coordonner cette action avec les autorités judiciaires concernant l’identité et l’attribution de l’exploitant. Le Conseil de sécurité a souligné que le gel a été effectué sans impacter d’autres utilisateurs ou applications d’Arbitrum, en maintenant l’intégrité du réseau tout en traitant la menace spécifique.

L’approche technique consistait à déplacer les fonds en toute sécurité sans affecter l’état de la chaîne ni perturber les activités légitimes des utilisateurs. Cette exécution précise démontre la capacité du Conseil de sécurité à mettre en œuvre des interventions ciblées tout en préservant le fonctionnement décentralisé du réseau pour les participants non concernés.

Implications pour la décentralisation et réaction communautaire

Ce gel a suscité un débat important au sein de la communauté crypto concernant l’équilibre entre interventions de sécurité et principes de décentralisation. Si l’action a empêché d’autres pertes et protégé les fonds des utilisateurs, elle a aussi soulevé des questions sur le degré de contrôle centralisé dans des systèmes prétendument décentralisés.

Des observateurs du secteur ont comparé cette intervention à d’autres incidents récents de gel d’actifs. Notamment, des membres de la communauté ont mis en parallèle l’action d’Arbitrum gelant des fonds volés liés à des hackers sponsorisés par l’État avec d’autres situations impliquant des gels d’actifs potentiellement injustifiés, soulignant l’importance d’un processus légitime et d’une justification transparente pour de telles mesures.

L’expert en sécurité on-chain Taylor Monahan a qualifié le gel de « rugging » collectif de la DPRK de 70 millions de USDT, présentant l’intervention comme une défense communautaire contre une exploitation par un acteur étatique plutôt qu’un contrôle centralisé arbitraire. Cette perspective met en avant l’intention protectrice derrière l’action du Conseil de sécurité.

Statut actuel et prochaines étapes

Les 30 766 ETH gelés restent sécurisés dans le portefeuille intermédiaire contrôlé par la gouvernance, inaccessible à l’exploitant original. Les fonds resteront bloqués jusqu’à ce que la gouvernance d’Arbitrum, en coordination avec les autorités légales concernées, décide de leur disposition appropriée.

Ce mécanisme de libération dépendant de la gouvernance garantit que la récupération des fonds suit des processus décisionnels établis plutôt qu’une action administrative unilatérale. La participation des autorités légales laisse envisager des voies potentielles pour la restitution aux victimes ou d’autres distributions légalement autorisées, bien que les résultats précis restent en attente de délibérations de la gouvernance.

Impact sur l’écosystème et gestion des risques

L’exploitation de KelpDAO et la réponse d’Arbitrum ont incité à une réévaluation généralisée de la sécurité des ponts inter-chaînes dans la DeFi. Aave a déjà gelé les marchés rsETH sur V3 et V4, avec le fondateur Stani Kulechov évoquant une discussion communautaire sur un retrait définitif une fois la réponse immédiate terminée.

L’incident met en lumière les risques systémiques liés aux architectures DeFi dépendantes des ponts, où des compromissions dans l’infrastructure inter-chaînes peuvent se propager à plusieurs protocoles et chaînes. La capacité d’Arbitrum à intervenir et à geler des actifs démontre à la fois la valeur et la complexité des mécanismes du Conseil de sécurité dans les écosystèmes Layer 2.

Considérations techniques et de gouvernance

L’intervention d’Arbitrum représente environ 25 % du total des fonds issus de l’exploitation, indiquant que, bien que significative, la gelée ne couvre qu’une partie des fonds volés. Les autres actifs restent probablement répartis sur d’autres chaînes et protocoles, compliquant les efforts de récupération globale.

La capacité technique du Conseil de sécurité à exécuter des gels précis sans perturber le réseau démontre une infrastructure d’intervention d’urgence sophistiquée. Cette capacité équilibre la nécessité d’une intervention rapide avec la préservation des propriétés décentralisées du réseau, bien que l’existence de tels mécanismes crée intrinsèquement des vecteurs de centralisation.

Contexte plus large de l’industrie

L’exploitation de KelpDAO intervient dans une période de préoccupations accrues en matière de sécurité dans les marchés de cryptomonnaies, avec plusieurs attaques de haut profil attribuées à des acteurs sophistiqués. L’attribution au groupe Lazarus souligne la menace persistante d’attaques étatiques contre l’infrastructure DeFi, renforçant les exigences de sécurité au-delà des modèles criminels classiques.

La réponse d’Arbitrum pourrait établir des précédents pour de futures interventions de sécurité, influençant la manière dont d’autres réseaux Layer 2 et protocoles DeFi structurent leurs capacités d’intervention d’urgence. L’équilibre entre intervention rapide et gouvernance décentralisée reste un domaine en évolution dans la conception des protocoles.

Conclusion

Le gel par Arbitrum de 30 766 ETH liés à l’exploitation de KelpDAO constitue une intervention majeure dans la réponse à la sécurité en DeFi. Tout en empêchant des pertes immédiates et en démontrant une capacité technique de récupération d’actifs, cette action a suscité des discussions importantes sur les compromis de décentralisation en situation d’urgence. La détention par la gouvernance des fonds gelés en attente d’une coordination légale offre une voie structurée pour une éventuelle récupération, même si les questions plus larges sur la sécurité des ponts et la gestion des risques inter-chaînes restent des défis actifs pour l’écosystème.