#ArbitrumFreezesKelpDAOHackerETH – $71 Décision de gel de un million divise la crypto

Juste 48 heures après la plus grande attaque DeFi d’avril, le plus grand réseau de couche 2 d’Ethereum, Arbitrum, a effectué l’une des interventions les plus controversées de son histoire. Son Conseil de sécurité a gelé 30 766 ETH dans un portefeuille lié au piratage de KelpDAO, d’une valeur d’environ 71,2 millions de dollars. Alors que cette décision a suscité l’espoir de récupérer les fonds volés, elle a ravivé la question de savoir où s’arrête le principe de « décentralisation ».

Que s’est-il passé ?

Samedi, le protocole de restaking liquide KelpDAO a perdu environ $292 millions provenant de son pont rsETH fonctionnant sur LayerZero. L’attaquant a déclenché la fonction lzReceive de LayerZero avec un faux message, créant 116 500 rsETH sans aucune garantie. Ces tokens représentaient 18 % de l’offre en circulation.

L’attaquant a immédiatement utilisé ces rsETH comme garantie pour retirer 83 427 WETH et wstETH d’Aave, SparkLend, et d’autres marchés de prêt. La transaction a été exécutée en parallèle sur Ethereum et Arbitrum. Aave a rapidement annoncé qu’il gelait les marchés rsETH, mais d’ici là, des millions de dollars de « mauvaises dettes » s’étaient accumulés sur le protocole.

LayerZero a initialement attribué l’attaque à TraderTraitor, un sous-groupe du groupe Lazarus lié à la Corée du Nord. KelpDAO a cependant blâmé la conception de la messagerie à validateur unique de LayerZero. Alors que les accusations continuaient de part et d’autre, les fonds se dispersaient rapidement sur la chaîne.

Intervention immédiate d’Arbitrum

Lundi, le Conseil de sécurité d’Arbitrum, composé de 12 membres élus, a tenu une réunion extraordinaire. Selon le membre du conseil Griff Green, la décision « n’a pas été prise à la légère », et des heures de discussions techniques, éthiques et juridiques ont eu lieu. Les forces de l’ordre ont également été consultées.

Finalement, 9 membres ont voté en faveur. Le conseil a transféré l’ETH dans le portefeuille Arbitrum du hacker vers un « portefeuille gelé intermédiaire » inaccessible. Les retraits de ce portefeuille ne sont désormais possibles qu’avec un nouveau vote de la gouvernance d’Arbitrum.

Arbitrum a souligné que l’intervention n’a pas affecté les utilisateurs ou applications normaux, ciblant uniquement l’adresse directement liée à l’exploit.

Le gel a accéléré les actions du hacker.

La nouvelle du gel a incité à la fois les détectives en chaîne et l’attaquant à agir. Quelques heures après le gel, des portefeuilles clés sur le réseau principal Ethereum sont devenus actifs.

Le chercheur en blockchain ZachXBT a détecté qu’environ 1,5 million de dollars avaient été convertis en Bitcoin via THORChain.
EmberCN a rapporté qu’un total de 75 700 ETH, d’une valeur d’environ $175 millions, commençaient à être retirés d’Ethereum.
PeckShield a noté que les fonds étaient répartis entre des protocoles de confidentialité et de cross-chain comme THORChain, Umbra, Chainflip, et BitTorrent. De petites transferts via Umbra représentaient environ 78 000 dollars.

L’objectif était clair : s’échapper vers des chaînes inaccessibles à Arbitrum. La conversion en Bitcoin obscurcissait la trace sur Ethereum, tandis que des protocoles de confidentialité comme Umbra masquaient les adresses des destinataires.

Réaction en chaîne dans la DeFi

L’attaque de Kelp n’est pas restée confinée à un seul protocole. Parce que le rsETH a été utilisé comme garantie :

Aave a suspendu les marchés rsETH et réinitialisé les facteurs de garantie.
SparkLend, Fluid, et Upshift ont pris des mesures similaires.
Les baleines ont paniqué et fermé des positions, provoquant une chute de 6,28 milliards de dollars de la valeur totale verrouillée sur Aave en une seule journée.

Le retrait de 53 665 ETH par Justin Sun d’Aave, à peu près au même moment, a encore accru la tension du marché. Bien que non directement lié, le réflexe de « sortir en premier » des grands acteurs a aggravé la crise de confiance.

Décentralisation ou sécurité ?

Le mouvement d’Arbitrum a divisé la communauté.

Les supporters affirment que « rester inactif » lors d’un vol de $292 millions par un acteur lié à la Corée du Nord aurait été irresponsable. Le CTO de Ledger, Charles Guillemet, a résumé la situation comme « probablement bon, mais pas confortable ». Selon lui, le conseil n’a pas utilisé de porte dérobée, mais a plutôt exploité une autorité déjà présente dans la conception du protocole. Cela montre que les rollups d’aujourd’hui peuvent encore être arrêtés par des décisions de gouvernance.

Les critiques, cependant, ont commenté que « Arbitrum n’est plus décentralisé ». L’autorité de gel pourrait théoriquement être utilisée dans une attaque malveillante de gouvernance. L’échec de Circle à geler l’USDC lors du hack Drift a été critiqué, et la décision d’Arbitrum de le faire a suscité autant de débats.

C’était le deuxième gros vol, supposé lié à la Corée du Nord, en avril. Avec le $285 millions volés du protocole Drift le 1er avril, la perte totale a dépassé $578 millions. Étant donné que le rapport 2025 du FBI estime que les crimes cryptographiques causeront 11,37 milliards de dollars de pertes, l’industrie fait face à un dilemme croissant : « intervenir ou accepter la perte ».

Que se passe-t-il ensuite ?
Les $71 millions gelés sont actuellement sous le contrôle d’Arbitrum. Rendre les fonds nécessitera soit une ordonnance judiciaire, soit un vote DAO. Le processus juridique pourrait prendre des mois.

Pendant ce temps, le $175 millions détenus par le hacker sont toujours en mouvement. Récupérer les fonds transférés vers les réseaux THORChain et Bitcoin est presque impossible. Les sociétés de sécurité prévoient que le reste des ETH sera également décomposé en plus petits morceaux et traité via des mixers de confidentialité.

Le hashtag #ArbitrumFreezesKelpDAOHackerETH ne concerne pas seulement un gel technique. C’est le moment où le conflit entre la plus grande promesse de la DeFi – « la confiance dans le code » – et sa plus grande crainte – « les hackers parrainés par l’État » – se déploie. Arbitrum a créé un précédent en gelant le $71 millions. La question est maintenant : ce précédent sera-t-il un filet de sécurité protégeant les utilisateurs, ou le début de la fin pour la décentralisation ?