KelpDAO aurait perdu plus de 292 millions de dollars après que des attaquants ont vidé des positions sur plusieurs protocoles de finance décentralisée (DeFi) sur Ethereum et Arbitrum.
L’enquêteur on-chain ZachXBT a signalé l’incident, identifiant six wallets contrôlés par les attaquants qui déplacent activement les fonds volés.
Le déroulement de l’attaque contre KelpDAO
Les données de la blockchain montrent que les wallets des attaquants ont reçu un financement initial par le biais de Tornado Cash, un mixeur crypto, ce quelques heures avant le début du vol.
Les wallets ont ensuite interagi avec des protocoles DeFi, exécutant des approbations et des échanges de jetons par le biais de KyberSwap et KelpDAO, avant de convertir toutes les positions en ether (ETH).
« KelpDAO semble avoir perdu plus de 280 millions de dollars il y a une heure sur Ethereum et Arbitrum. Les adresses utilisées pour l’attaque ont été financées par le biais de Tornado Cash », a écrit ZachXBT sur Telegram dans une publication.
En l’espace d’environ une heure, les attaquants ont consolidé environ 75 700 ETH, représentant près de 178 millions de dollars au prix actuel, dans un seul wallet.
La valeur restante volée comprend d’autres jetons et positions sur Arbitrum. Au moment de la publication, aucune sortie du wallet de consolidation n’avait été détectée.
Le schéma suggère une compromission de clé privée plutôt qu’un hack de smart contract sur un protocole spécifique.
La victime semble avoir détenu une exposition DeFi importante sur les deux blockchains, et l’attaquant a méthodiquement retiré et échangé ces positions contre de l’ETH brut.
Une recrudescence d’attaques visant les baleines crypto
L’incident intervient dans un contexte de forte hausse des attaques de phishing et d’ingénierie sociale ciblant les détenteurs à forte valeur.
En janvier 2026 seulement, une victime de phishing a perdu 284 millions de dollars, soit plus de 70 % du total des pertes liées aux vols de crypto du mois.
Si le montant de 292 millions de dollars est confirmé, il s’agirait de l’une des compromissions de wallet individuel les plus importantes jamais enregistrées.
Les analystes en sécurité devraient publier une analyse plus approfondie on-chain dans les prochaines heures.
KelpDAO n’a pas encore réagi publiquement à l’incident et n’a pas répondu immédiatement à la demande de commentaire de BeInCrypto.
Par ailleurs, des rapports indiquent également que le compte Instagram du launchpad de meme coins Solana Pump.fun a été compromis.
« Il ne faut faire confiance à aucune publication émanant du compte Instagram officiel de pump fun. Ignorez tous les contenus publiés par ce compte tant que nous n’avons pas sécurisé l’accès », a écrit l’équipe dans une publication.
Néanmoins, les plateformes Pump.fun restent opérationnelles et les fonds des utilisateurs sont en sécurité.
