Les avocats des victimes de pirates informatiques nord-coréens ont modifié leurs arguments juridiques dans un litige portant sur 30 766 ETH que l’équipe d’Arbitrum a gelés après le piratage de Kelp.
Les avocats insistent pour requalifier l'incident : selon leur version, l'attaquant n'a pas seulement volé des actifs, mais a emprunté de l'ETH sur Aave sous forme de rsETH non sécurisé et ne l'a pas restitué.
« En réalité, la RPDC a emprunté des actifs aux utilisateurs d'Aave et ne les a pas restitués. Lorsqu'Aave a tenté de liquider les garanties, il s'est avéré qu'elles étaient sans valeur », indique le nouveau document.
Les plaignants ont invoqué une règle du droit américain : même les biens obtenus frauduleusement deviennent temporairement la propriété légale du fraudeur jusqu’à ce qu’ils soient contestés. Ils ont également invoqué la loi sur l’assurance contre les risques de terrorisme (Terrorism Risk Insurance Act), adoptée après les attentats du 11 septembre : cette loi permet aux victimes d’attentats terroristes de percevoir des indemnités sur les biens des États commanditaires.
Si les fonds volés lors de l'attaque de Kelp appartenaient, au moins temporairement, à la RPDC, ils pourraient être saisis dans le cadre de l'exécution des décisions de justice dans les affaires de terrorisme, estiment les avocats.
Arguments contre Aave
Début mai, un tribunal new-yorkais a interdit à Arbitrum de débloquer les ETH volés. La DAO du réseau L2 prévoyait de les transférer au fonds DeFi United, créé pour restaurer l'écosystème.
Quelques jours plus tard, l'équipe d'Aave a déposé une requête d'urgence pour lever la saisie des actifs. Les représentants du projet ont qualifié le raisonnement du tribunal d'irrecevable sur le plan juridique.
« Le voleur n’est pas propriétaire de ce qu’il a volé. Ces fonds appartiennent aux utilisateurs à qui ils ont été volés, et à personne d’autre », a déclaré Stani Kulechov, fondateur du protocole.
Les avocats des plaignants ont contesté le droit d'Aave de s'opposer au gel des comptes, en s'appuyant sur les conditions d'utilisation de la plateforme qui stipulent qu'elle « possède, stocke et contrôle » les actifs de ses clients. Selon eux, cela rend le projet responsable des événements et pourrait fragiliser sa position devant les tribunaux.
Les avocats ont également noté que les victimes n'ont probablement pas besoin de ces 30 766 ETH : DeFi United a déjà levé 327,95 millions de dollars, soit quatre fois le montant en question.
Une audience dans cette affaire est prévue le 6 mai et se tiendra devant le tribunal fédéral de Manhattan.
Conflit entre les algues et LayerZero
Les développeurs de Kelp ont déclaré que la faille de sécurité d'avril était due à une vulnérabilité de l'infrastructure LayerZero. Le projet prévoit de redémarrer le système inter-chaînes basé sur Chainlink.
Suite à la récente faille LayerZero, nous prenons des mesures pour garantir la sécurité totale de rsETH, et c'est pourquoi nous migrayons vers @chainlink CCIP.
L'incident du 18 avril a clairement démontré que l'infrastructure de LayerZero avait été exploitée, entraînant des pertes de 300 millions de dollars dans l'écosystème DeFi.… https://t.co/beIrfZZLlh
— Kelp (@KelpDAO) 5 mai 2026
Le cœur du litige réside dans la configuration DVN 1-sur-1, où un message inter-chaînes est confirmé par un seul vérificateur. Kelp affirme que LayerZero a approuvé cette configuration sans avertir des risques, puis a rejeté la faute sur autrui après le piratage.
LayerZero affirme que le problème était limité au niveau rsETH et qu'il était dû à une configuration dangereuse de Kelp. L'équipe du projet concernée conteste cette affirmation : la configuration 1-sur-1 était largement utilisée dans l'écosystème du protocole omnichain, et la décision de l'abandonner confirme le caractère systémique de la vulnérabilité.
Pour rappel, fin avril, LayerZero a rejoint l'initiative DeFi United et a fait don de 10 000 ETH (environ 23 millions de dollars).