Points clés à retenir :
L'exploiteur de Kelp DAO a blanchi environ 220 millions de dollars de fonds volés en six semaines, ne laissant que 1,7 million de dollars traçables dans le portefeuille tagué du pirate, selon les données d'Arkham Intelligence.
« Les fonds ont été pontés vers Bitcoin via le mélangeur Wasabi, puis renvoyés vers Ethereum et passés en boucle via Tornado Cash », a déclaré Specter, un analyste on-chain.
L'acteur malveillant a drainé 116 500 Kelp DAO restaked Ether, ou rsETH, le 18 avril, portant le total des pertes dues aux piratages crypto pour ce mois à 630 millions de dollars, selon la plateforme de sécurité CertiK. 71 millions de dollars supplémentaires — 30 765,67 ETH — ont été gelés par le Conseil de sécurité d'Arbitrum trois jours plus tard et font désormais l'objet d'une injonction fédérale à New York, avec une audience prévue vendredi.
Le blanchiment réussi de la quasi-totalité des fonds non gelés réduit considérablement la probabilité de récupération pour les victimes et a poussé au moins trois protocoles DeFi — Solv Protocol, Tydro et Kelp DAO lui-même — à migrer de LayerZero vers le protocole d'interopérabilité cross-chain de Chainlink, invoquant des faiblesses dans la sécurité des ponts cross-chain.
L'opération de blanchiment a utilisé une approche en deux couches : ponter le rsETH volé vers Bitcoin via le mélangeur crypto Wasabi, puis revenir vers Ethereum avant de retirer et déposer via Tornado Cash, selon l'analyse on-chain de Specter. Cette activité pourrait mettre fin à toute chance de récupérer les fonds non gelés restants.
Le secteur DeFi au sens large a vu les pertes dues aux exploits chuter à 68,3 millions de dollars en mai, soit une baisse de près de 90 % par rapport aux 630 millions de dollars d'avril, selon CertiK. Environ 2,6 millions de dollars ont été attribués à des attaques de phishing, tandis que 9,4 millions de dollars ont été récupérés ou restitués avec succès. Néanmoins, l'incident de Kelp DAO a suscité des inquiétudes plus larges concernant la sécurité cross-chain.
Kelp DAO a achevé son effort de récupération de cinq semaines le 26 mai, envoyant la dernière tranche de 20 373,7 jetons rsETH au contrat intelligent LayerZero responsable des transferts cross-chain. Le protocole a depuis migré son jeton rsETH vers Chainlink CCIP, s'éloignant du pont propulsé par LayerZero qu'il a tenu pour responsable de l'exploit. LayerZero a rétorqué que l'incident résultait d'un point de défaillance unique dans l'implémentation de Kelp DAO, qui reposait sur un seul DVN LayerZero comme seul chemin vérifié malgré des avertissements antérieurs.
Les 71 millions de dollars gelés par le Conseil de sécurité d'Arbitrum restent non résolus. Un tribunal fédéral a modifié une injonction le 8 mai pour permettre un vote de gouvernance on-chain d'Arbitrum et le transfert de l'ETH immobilisé vers une adresse contrôlée par Aave LLC, mais le fond de l'injonction reste à l'examen. L'issue pourrait créer un précédent quant à la manière dont les actifs crypto récupérés sont traités lorsqu'ils recoupent un litige fédéral américain.
Cet article est fourni à titre d'information uniquement et ne constitue pas un conseil en investissement.
