Le pirate de Kelp DAO déplace 104 millions de dollars en ETH volés via THORchain

Un pirate lié à la violation de Kelp DAO vient de transférer environ 104 millions de dollars d’Ether volés via THORchain. Le mouvement a été rapide.

Le conseil de sécurité d’Arbitrum a gelé 71 millions de dollars avant que l’attaquant ne puisse y toucher, mais le reste est passé. Le butin initial était de 75 700 ETH, soit environ 175 millions de dollars au moment de la violation. Cela représente beaucoup d’argent circulant sur des rails décentralisés, et cela montre à quelle vitesse les choses peuvent changer une fois qu’une exploitation est lancée. Le pirate n’a pas perdu de temps. Il a utilisé THORchain, un échange décentralisé qui permet aux gens d’échanger des actifs entre différentes blockchains sans qu’une autorité centrale ne surveille chaque mouvement. C’est conçu pour la confidentialité et la rapidité, ce qui le rend assez utile pour les traders légitimes. Mais cela fonctionne aussi pour ceux qui essaient de cacher des fonds volés.

Comment le blanchiment a fonctionné

THORchain fonctionne différemment des échanges centralisés comme Coinbase ou Binance. Pas de vérifications KYC. Pas de vérification d’identité. Juste des échanges. Le pirate a divisé l’ETH volé en plus petits morceaux et les a déplacés via la plateforme, probablement en les convertissant en d’autres jetons en cours de route. C’est une pratique standard pour blanchir de la crypto-monnaie : la diviser, l’échanger, la rendre plus difficile à tracer. La blockchain enregistre toujours chaque transaction, mais suivre la piste devient compliqué lorsque les fonds rebondissent entre les protocoles et les types de jetons.

Les 104 millions de dollars blanchis sont perdus pour l’instant. Les retrouver nécessitera un travail sérieux de criminalistique blockchain, et même dans ce cas, la récupération n’est pas garantie. Les plateformes de finance décentralisée n’ont pas de bouton « annuler la transaction ». Une fois que les fonds bougent, ils bougent. Et la structure de THORchain rend difficile le gel des actifs en cours d’échange car il n’y a pas d’entité centrale contrôlant la plateforme. Tout repose sur des contrats intelligents et des pools de liquidité.

Arbitrum a agi rapidement, cependant. Leur conseil de sécurité a verrouillé 71 millions de dollars avant que le pirate ne puisse y accéder. Cette intervention a probablement évité aux utilisateurs de Kelp DAO de perdre encore plus. Mais cela soulève aussi des questions sur le degré de décentralisation de ces plateformes lorsqu’un conseil peut geler des fonds. C’est un débat pour un autre jour. Pour l’instant, l’attention se porte sur ce qui arrivera à l’ETH gelé et si les enquêteurs peuvent récupérer une partie de la somme blanchie.

Ce que Kelp DAO a perdu

Kelp DAO a été durement touché. Le protocole traite des dérivés de staking liquide, ce qui signifie que les utilisateurs déposent de l’ETH et reçoivent des jetons représentant leurs actifs stakés. Ces jetons peuvent être utilisés sur les plateformes DeFi tandis que l’ETH original génère des récompenses de staking. C’est une configuration populaire. Mais cela crée aussi une grande cible. Les exploits de contrats intelligents dans cet espace peuvent drainer d’énormes montants de valeur en quelques minutes.

Les 75 700 ETH volés à Kelp DAO représentent l’un des plus gros piratages de ces derniers mois. Pas le plus gros—la DeFi a connu pire—mais suffisamment important pour faire mal. Les utilisateurs qui avaient des fonds dans le protocole sont probablement en train de transpirer en ce moment, attendant de voir s’ils récupéreront quelque chose. Certains pourraient récupérer des pertes partielles si les fonds gelés sont redistribués. D’autres pourraient ne pas avoir de chance du tout, selon la manière dont la plateforme gère les remboursements.

Kelp DAO n’a pas beaucoup communiqué publiquement depuis l’exploitation. Pas de post-mortem détaillé. Pas de calendrier pour la récupération. Juste le silence. THORchain n’a pas non plus commenté l’activité de blanchiment, ce qui n’est pas surprenant. Les échanges décentralisés ne surveillent généralement pas les transactions et ne les restreignent que s’ils y sont légalement contraints. Et même dans ce cas, l’application est compliquée lorsqu’il n’y a pas de siège social à perquisitionner ou de PDG à assigner à comparaître.

La communauté crypto observe de près. Les exploits comme celui-ci ébranlent la confiance dans les protocoles DeFi, surtout ceux qui gèrent de grandes quantités de fonds d’utilisateurs. Chaque piratage soulève les mêmes questions : le contrat intelligent a-t-il été audité ? Y avait-il des avertissements ? Cela aurait-il pu être évité ? Parfois, les réponses sont claires. D’autres fois, c’est juste de la malchance—une vulnérabilité zero-day que personne n’a repérée avant qu’il ne soit trop tard.

Fonds gelés et ce qui vient ensuite

Les 71 millions de dollars gelés par Arbitrum sont en attente. Le conseil de sécurité d’Arbitrum peut verrouiller des actifs sur son réseau Layer 2 lorsqu’il y a une menace de sécurité claire. Ce pouvoir est controversé. Certaines personnes le voient comme une protection nécessaire. D’autres pensent que cela sape tout l’intérêt de la finance décentralisée. Si un petit groupe peut geler vos fonds, sont-ils vraiment vos fonds ?

Mais dans des situations comme celle-ci, la plupart des utilisateurs apprécient probablement l’intervention. Mieux vaut avoir 71 millions de dollars verrouillés que de les voir tous disparaître via THORchain. L’ETH gelé pourrait éventuellement retourner aux utilisateurs affectés, à condition que Kelp DAO et Arbitrum puissent élaborer un plan de distribution. Ce processus pourrait prendre des semaines ou des mois. Des questions juridiques, des défis techniques, et la gouvernance communautaire jouent tous un rôle.

Récupérer les 104 millions de dollars blanchis est une autre histoire. Les entreprises d’analyse blockchain peuvent tracer les fonds dans une certaine mesure, suivant le chemin à travers THORchain et au-delà. Mais tracer ne signifie pas récupérer. Le pirate a probablement déplacé les actifs dans des pièces de confidentialité, les a mélangés à travers plusieurs protocoles, ou les a convertis en jetons plus difficiles à suivre. Chaque étape rend la récupération moins probable.

Plus de contexte : HackerOne enregistre 85 000 rapports de bogues valides en 2025 alors que les outils d’IA envahissent les plateformes

Les agences d’application de la loi interviennent parfois dans les grands piratages de crypto, surtout lorsque les montants sont aussi importants. Mais les enquêtes prennent du temps, et les complications transfrontalières compliquent les choses. Si le pirate opère depuis une juridiction qui ne coopère pas avec les autorités américaines ou européennes, bonne chance pour récupérer quoi que ce soit. La nature décentralisée de la crypto est un atout jusqu’à ce qu’elle devienne un problème.

Les plateformes DeFi apprennent des leçons difficiles sur la sécurité. Les audits de contrats intelligents aident, mais ils ne sont pas infaillibles. Les programmes de primes de bogues attrapent certaines vulnérabilités avant que les attaquants ne le fassent. Les portefeuilles multi-signatures et les transactions verrouillées dans le temps ajoutent des couches de protection. Pourtant, les exploits continuent de se produire. L’espace évolue rapidement, et la sécurité a souvent du mal à suivre.

Le piratage de Kelp DAO ne sera pas le dernier grand exploit dans la DeFi. Ce ne sera probablement même pas le dernier cette année. Mais chaque incident pousse les développeurs à construire de meilleures protections et force les utilisateurs à réfléchir davantage à l’endroit où ils placent leur argent. La confiance dans la DeFi repose sur la qualité du code et la rapidité de la réponse lorsque les choses tournent mal. La réponse de Kelp DAO façonnera la manière dont les utilisateurs perçoivent le protocole à l’avenir.