LCP_hide_placeholder
fomox
MarchésPerpsSpotÉchangerMeme Parrainage
ai-iconPlus
Rechercher token/portefeuille
/
BLOG
Incident de sécurité DeFi 2026 : risques...

Incident de sécurité DeFi 2026 : risques inter-protocoles déclenchés par la vulnérabilité de Kelp DAO et analyse de l’exposition au crédit d’Aave

2026-04-20 15:58

Le 18 avril 2026 à 17h35 (UTC), ce qui semblait n’être qu’une transaction cross-chain ordinaire a déclenché l’un des incidents de sécurité les plus marquants de l’histoire de la DeFi. En raison d’une vulnérabilité de configuration sur le pont cross-chain rsETH de Kelp DAO, un attaquant est parvenu à frapper 116 500 tokens rsETH à partir de rien—soit environ 293 millions de dollars, représentant près de 18 % de l’offre totale en circulation du token. Cet événement a non seulement établi un nouveau record de pertes pour un incident unique en DeFi en 2026, mais a également provoqué une crise systémique via la composabilité des protocoles DeFi : la TVL d’Aave s’est évaporée de 8,45 milliards de dollars en deux jours, tandis que la TVL totale de la DeFi sur l’ensemble des blockchains a chuté de 13,21 milliards de dollars.

Cependant, l’incident de Kelp DAO n’a rien d’isolé. Durant les quatre premiers mois de 2026, le secteur DeFi a subi plusieurs brèches de sécurité, pour des pertes cumulées atteignant plusieurs centaines de millions de dollars. Les vecteurs d’attaque se sont complexifiés, allant de la prise de contrôle de la gouvernance aux failles sur les bridges, en passant par la manipulation d’oracles et la réentrance de smart contracts. L’interconnexion profonde des protocoles amplifie désormais la puissance destructrice de tout point de défaillance isolé.

Chronologie de la vulnérabilité du pont Kelp DAO

Le 18 avril 2026 à 17h35 (UTC), un attaquant a exploité une faille de configuration sur le pont cross-chain LayerZero de Kelp DAO. En falsifiant un message cross-chain, il a frappé 116 500 rsETH sur le réseau principal Ethereum—des tokens sans aucun collatéral réel. Quarante-six minutes après le début de l’attaque, Kelp DAO a utilisé une multisig d’urgence pour suspendre les fonctions du contrat rsETH sur le mainnet et plusieurs chaînes L2. Durant cette fenêtre, l’attaquant a tenté à deux reprises de frapper 40 000 rsETH supplémentaires, mais les deux tentatives ont été annulées grâce au gel du contrat.

Au lieu de vendre immédiatement les rsETH volés sur les marchés secondaires, l’attaquant en a déposé la majeure partie sur Aave V3 et V4 en tant que collatéral pour emprunter de véritables WETH et ETH. Les données on-chain montrent que l’attaquant a récupéré environ 106 500 ETH—soit près de 250 millions de dollars—grâce à la mise en collatéral puis à la revente.

Cette opération a exposé Aave à un risque de créances douteuses estimé entre 177 et 236 millions de dollars. En réaction, Aave a gelé en urgence les marchés rsETH sur le mainnet Ethereum et sur des L2 comme Arbitrum, Optimism et Base, fixant le ratio Loan-to-Value de rsETH à zéro. D’autres protocoles, dont Compound et Euler, ont rapidement suivi en suspendant ou en restreignant les opérations sur les actifs concernés.

De la vulnérabilité à la contagion : la réaction en chaîne

Heure (UTC) Événement Nature
18 avr., 17h35 L’attaquant appelle la fonction lzReceive d’EndpointV2 de LayerZero avec des données falsifiées, déclenchant la frappe de 116 500 rsETH Attaque
18 avr., 17h35–18h21 L’attaquant dépose des rsETH sur Aave V3/V4 en collatéral pour emprunter de grandes quantités de WETH Mouvement de fonds
18 avr., 18h21 La multisig d’urgence de Kelp DAO détecte une activité suspecte, gèle les contrats rsETH sur le mainnet et d’autres chaînes Réponse d’urgence
18 avr., 18h26, 18h28 L’attaquant tente deux fois de frapper 40 000 rsETH supplémentaires ; les deux tentatives sont annulées Attaque déjouée
18 avr., 20h10 Kelp DAO publie sa première déclaration officielle sur X, confirmant une activité cross-chain suspecte Déclaration officielle
18 avr. soir–19 avr. Aave gèle les marchés de collatéral rsETH ; Compound et Euler font de même Réaction sectorielle
19–20 avril La TVL d’Aave chute de 26,396 Md$ à 17,947 Md$ (-8,45 Md$) ; la TVL totale DeFi passe de 99,497 Md$ à 86,286 Md$ Fuite de capitaux

La réactivité de Kelp DAO a reçu des avis partagés. Certains membres de la communauté estiment que 46 minutes constituent un délai relativement court pour un incident de bridge cross-chain. D’autres soulignent qu’il s’est écoulé près de trois heures entre l’attaque (17h35) et la première communication publique (20h10), créant un vide informationnel qui a alimenté la panique sur le marché. Par ailleurs, le recours par Kelp DAO à une configuration DVN 1/1 a suscité des débats quant à la rigueur de leur audit de sécurité.

Données et analyse structurelle : quantifier la réaction en chaîne

Aperçu de la sécurité DeFi en 2026

Fréquence des attaques et pertes

Sur les 18 premiers jours d’avril 2026, les protocoles crypto ont cumulé plus de 606 millions de dollars de pertes dues à des hacks—le pire mois depuis février 2025. Le protocole Drift a perdu environ 285 millions de dollars lors d’une attaque de gouvernance le 1er avril, tandis que l’incident Kelp DAO a représenté 293 millions de dollars, totalisant l’essentiel des pertes du mois. Cette vague d’attaques de grande ampleur constitue un nouveau crash test pour la sécurité DeFi.

Évolution des modes d’attaque

Les chercheurs en sécurité identifient deux grandes tendances dans les vecteurs d’attaque de 2026 : d’abord, une focalisation croissante sur l’exploitation de failles de configuration des bridges cross-chain et des protocoles d’actifs dérivés, au-delà des simples bugs de smart contracts. Ensuite, les attaquants maîtrisent de mieux en mieux la composabilité DeFi pour amplifier l’impact d’une faille isolée, transformant un exploit ponctuel en choc systémique. Le cas Kelp DAO, où l’attaquant a utilisé des actifs frappés comme collatéral pour extraire de la valeur réelle plutôt que de les vendre, illustre ce changement.

Quantification de l’impact sur Aave

Évolution de la TVL et des prix des tokens

Selon les données de marché Gate et le suivi on-chain, au 20 avril 2026, Aave a subi les impacts suivants :

  • Variation de la TVL : La TVL d’Aave a chuté d’environ 26,396 milliards de dollars avant l’attaque du 18 avril à 17,947 milliards deux jours plus tard, soit une baisse de 8,45 milliards.
  • Sorties nettes : Les sorties nettes d’Aave s’élèvent à environ 6,2 milliards de dollars, soit une baisse de 23 %.
  • Créances douteuses : Aave fait face à 177 à 236 millions de dollars de créances douteuses, concentrées principalement sur la paire rsETH/WETH sur le mainnet Ethereum.
  • Taux d’utilisation : Le marché du prêt WETH a atteint 100 % d’utilisation, les pools USDT et USDC étant également saturés—plus de 5,1 milliards de dollars de stablecoins sont désormais bloqués jusqu’à l’arrivée de nouvelles liquidités ou le remboursement des emprunteurs.
  • Retraits de "whales" : Abraxas Capital a retiré environ 392 millions de dollars, MEXC 431 millions, et une baleine liée à Nonco environ 405,7 millions.

Appréciation sectorielle de la sécurité des contrats principaux d’Aave

Il est important de préciser que les smart contracts principaux d’Aave n’ont pas été compromis lors de cet incident. L’attaquant a exploité la faille du bridge Kelp DAO pour frapper du "collatéral fictif", puis a utilisé la composabilité DeFi pour emprunter des actifs réels sur Aave. Le fondateur d’Aave, Stani, a déclaré lors d’un AMA communautaire qu’il s’agissait d’une "contamination amont", et non d’un bug du protocole—un diagnostic largement partagé par les chercheurs en sécurité.

Deux pistes pour couvrir les créances douteuses d’Aave

Deux hypothèses principales circulent sur la façon dont Aave pourrait absorber ces pertes : d’une part, le protocole pourrait encaisser progressivement le choc grâce à ses réserves de trésorerie et environ 12 millions de dollars de revenus mensuels ; d’autre part, si le déficit dépasse les réserves, Aave pourrait devoir activer son Safety Module, entraînant une coupe sur les tokens AAVE stakés—autrement dit, répercutant le coût de la faille Kelp DAO sur ses stakers les plus engagés. Au 20 avril, aucune décision définitive n’a été annoncée.

Analyse du prix et du décollage du peg de rsETH

Évolution de la circulation de rsETH

L’attaque a entraîné la frappe de 116 500 rsETH—environ 18 % de l’offre totale—sans aucun adossement en ETH réel. Tous les rsETH cross-chain sur plus de 20 réseaux sont désormais dans l’incertitude quant à leur collatéralisation, dans l’attente de la réconciliation des réserves et de l’offre en circulation par Kelp.

Questions sur le mécanisme de prix de rsETH

Les analystes rappellent qu’en tant que LRT (Liquid Restaking Token) représentatif, la valeur de rsETH dépend de l’intégrité de ses réserves d’ETH sous-jacentes. Tout écart entre les réserves et l’offre en circulation remet fondamentalement en cause son ancrage de prix. La configuration DVN 1/1 de Kelp DAO a concentré la vérification cross-chain sur un seul nœud, sacrifiant la redondance au profit de l’efficacité et exposant les LRT à une vulnérabilité systémique dans les scénarios cross-chain.

La stratégie prudente de SparkLend validée

Gestion préventive du risque par Spark Protocol

Le responsable stratégie de Spark Protocol, monetsupply.eth, a révélé que Spark avait retiré proactivement les actifs à faible usage—dont rsETH—dès janvier 2026, tout en renforçant les critères de collatéral et les limites fonctionnelles. Si cette décision avait initialement suscité la colère des utilisateurs de levier ETH, elle s’est révélée extrêmement judicieuse lors de la crise Kelp DAO.

Comparaison de la liquidité

Alors qu’Aave a souffert d’un manque de liquidité ETH à cause de son exposition à rsETH, SparkLend a maintenu une liquidité de retrait ETH abondante. Spark a également imposé des plafonds de taux d’emprunt ETH plus élevés, cédant une partie du marché à Aave mais préservant la santé de son bilan.

L’importance du filtrage du collatéral

La suppression précoce de rsETH par Spark illustre une leçon clé : dans les protocoles de prêt DeFi, un filtrage rigoureux du collatéral prime sur la diversification à tout prix pour gonfler la TVL. En situation extrême, l’acceptation large du collatéral peut devenir un point de faiblesse systémique, alors qu’une sélection prudente constitue la première ligne de défense du protocole.

Vers un changement de paradigme dans la concurrence des protocoles de prêt

Cet événement pourrait entraîner une redéfinition des critères de concurrence entre protocoles de prêt DeFi. Le modèle de croissance "maximisation de la TVL" sera probablement remis en question par les communautés et investisseurs, la qualité des actifs et la capacité d’isolation du risque devenant des métriques centrales pour la sécurité des protocoles. La stratégie de Spark en période de crise a été saluée par le marché et pourrait inspirer une révision des politiques de collatéral ailleurs.

Communauté, équipes de développement et chercheurs en sécurité : un dialogue à trois voix

Sentiment communautaire : de la panique à la réflexion

Retraits paniques et débat sur les données

Dans les heures qui ont suivi l’incident, les discussions dans les communautés chinoises et anglophones sur X ont dépassé les 100 millions de messages. Les premiers échanges étaient dominés par les retraits paniques et les inquiétudes sur la sécurité des actifs. Le fondateur de DeFiLlama, 0xngmi, a noté sur X que même les protocoles sur Solana—non directement affectés—ont subi des sorties de capitaux. Il a ajouté que la TVL DeFi a diminué de près de 10 milliards de dollars, concluant : "Dans ce genre d’événement, il n’y a pas de gagnant—c’est toute la taille du gâteau qui diminue, et tout le monde perd."

Division de la communauté sur la gestion du risque d’Aave

Après le gel du marché rsETH par Aave, la communauté s’est scindée en deux camps. Les uns estiment que la réaction rapide d’Aave a permis de contenir l’aggravation des créances douteuses, démontrant la résilience du prêt décentralisé. Les autres critiquent l’évaluation initiale du risque rsETH comme collatéral, jugée insuffisante, surtout à la lumière de la décision de Spark de le retirer dès janvier.

Réactions des équipes protocolaires et des développeurs

Déclarations officielles des protocoles

  • Kelp DAO : Le compte officiel X a confirmé une "activité suspecte sur les transferts cross-chain de rsETH" et annoncé une enquête complète avec LayerZero, les auditeurs et des experts en sécurité.
  • LayerZero : Le post officiel sur X indique qu’ils étaient "conscients de l’incident et enquêtaient sur la cause racine".
  • Aave : La déclaration officielle précise que rsETH sur le mainnet Ethereum était "pleinement supporté", mais que le marché restait gelé par précaution, l’exposition étant contenue.

Débat sectoriel sur les responsabilités

Les chercheurs en sécurité s’accordent généralement à dire que la configuration DVN 1/1 du bridge Kelp DAO est à l’origine de la faille. Deux courants s’opposent cependant : certains estiment que Kelp DAO, en tant que développeur du protocole, porte la responsabilité principale ; d’autres pointent que LayerZero, en tant que fournisseur d’infrastructure cross-chain, n’a pas suffisamment accompagné la configuration ni promu les bonnes pratiques.

Point de vue des chercheurs en sécurité

Diagnostic technique de la vulnérabilité

Des analyses approfondies publiées par plusieurs chercheurs sur X concluent que l’attaque provient de la configuration OApp (Omnichain Application) LayerZero de Kelp DAO : le modèle DVN 1/1, reposant sur un validateur unique, a permis à l’attaquant de forger des messages de vérification cross-chain. En élaborant une charge utile malveillante, l’attaquant a déclenché la frappe de rsETH sur la chaîne cible sans adossement réel—créant ainsi près de 300 millions de dollars d’actifs synthétiques à partir de rien.

Parallèles historiques et enseignements

Les chercheurs comparent cette attaque à l’incident du bridge Nomad en 2022 : dans les deux cas, une faille de configuration dans la validation cross-chain a permis d’exploiter le processus de vérification des messages. Après Nomad, la vigilance sectorielle sur la sécurité des bridges s’était brièvement accrue, mais l’émergence de nouveaux designs et d’actifs plus complexes (comme les LRT) a ouvert de nouvelles surfaces d’attaque. L’incident Kelp DAO montre que la sécurité des bridges cross-chain reste un problème non résolu—et se complexifie à mesure que la sophistication des actifs augmente.

Analyse de l’impact sectoriel : du point de défaillance unique au risque systémique

Choc de confiance sur le secteur LRT

La logique d’ancrage de valeur des LRT remise en question

En tant qu’actif LRT phare, l’épreuve de rsETH a révélé des risques structurels pour les LRT en contexte cross-chain : leur ancrage de valeur dépend de l’intégrité des réserves d’ETH sous-jacentes, mais une faille de bridge peut générer des tokens "désancrés" sans toucher aux réserves. Cela sape le socle de confiance de tout le secteur LRT.

Vers des standards accrus de transparence et d’audit des réserves LRT

Dans la foulée, le secteur pourrait exiger davantage de transparence sur les réserves et d’audits pour les protocoles LRT. Kelp DAO devra prouver l’intégrité de l’offre rsETH restante après réconciliation des réserves. Ce processus pourrait marquer un tournant pour les standards de sécurité dans le secteur LRT.

Réévaluation de l’isolation du risque dans les protocoles de prêt

L’architecture de marchés isolés de Morpho fait la preuve de sa robustesse

L’architecture à marchés isolés de Morpho a limité son exposition à rsETH à environ 1 million de dollars, répartis sur deux marchés distincts, évitant tout impact systémique sur le protocole. À l’inverse, le modèle de pool de collatéral unifié d’Aave a permis à la contamination d’un seul actif de se propager rapidement à l’ensemble du protocole.

L’architecture prime sur les contrôles de risque a posteriori

Le contraste entre Morpho et Aave met en lumière une réalité clé : en matière de sécurité DeFi, l’isolation architecturale du risque est plus fondamentale que les contrôles réactifs. Les marchés isolés sacrifient certes une part d’efficacité capitalistique, mais offrent une protection de type pare-feu lors des événements extrêmes.

Sécurité des bridges cross-chain : un vieux problème, de nouveaux enjeux

Risque de configuration sur LayerZero

La racine technique de l’incident Kelp DAO réside dans la configuration DVN 1/1 du bridge, introduisant un point de défaillance unique dans la vérification des actifs cross-chain. La flexibilité de LayerZero implique un risque accru si la configuration n’est pas rigoureuse.

Vers des bonnes pratiques sectorielles pour la sécurité des bridges cross-chain

À la suite de l’incident, le secteur pourrait accélérer la standardisation des bonnes pratiques de sécurité pour les bridges cross-chain. Des mesures telles que la validation multi-DVN, les time locks et les plafonds de transaction pourraient devenir des prérequis pour tout déploiement de bridge. Curve Finance, par exemple, a suspendu son infrastructure LayerZero pour revue de sécurité après l’incident—une démarche que d’autres protocoles pourraient bientôt imiter.

Scénarios prospectifs : quelle sécurité DeFi après la crise ?

Scénario central : reprise progressive, résilience institutionnelle

Dans ce scénario, Aave absorbe progressivement les créances douteuses via ses réserves et revenus, Kelp DAO finalise la réconciliation des réserves et publie l’adossement réel des rsETH restants, et le secteur se redresse après un choc à court terme. Les variables clés à surveiller : la capacité d’Aave à couvrir le déficit sans couper dans le Safety Module, la solidité de la réconciliation de Kelp DAO pour préserver la valeur résiduelle de rsETH, et la faculté des autres LRT à restaurer la confiance par une transparence accrue.

Scénario de stress : chute de l’ETH et liquidations secondaires

Le responsable stratégie de Spark, monetsupply.eth, met en garde : avec l’ETH comme collatéral principal, une utilisation à 100 % rend impossible toute liquidation. Si le prix de l’ETH chute de 15 à 20 % alors que la liquidité Aave reste tendue, de nouvelles créances douteuses pourraient rapidement s’accumuler. Dans ce cas, le Safety Module stkAAVE d’Aave pourrait subir sa première coupe majeure, impactant directement les détenteurs de tokens. Le risque systémique serait alors un cercle vicieux "manque de liquidité—liquidations impossibles—créances douteuses croissantes", susceptible d’affecter tous les protocoles DeFi reposant sur l’ETH comme collatéral principal.

Scénario de transformation : refonte systémique de l’architecture de sécurité DeFi

Cet incident pourrait catalyser une refonte de l’architecture de sécurité DeFi. Les évolutions possibles incluent : des standards sectoriels pour la sécurité des bridges cross-chain (validation multi-DVN obligatoire, time locks, plafonds de transaction), des preuves de réserves régulières pour les protocoles LRT (réconciliation quotidienne ou en temps réel), des critères d’admission renforcés pour les actifs dérivés à risque dans les protocoles de prêt (adoption du modèle de filtrage Spark), et une généralisation des architectures de marchés isolés parmi les principaux protocoles de prêt. Atteindre cet objectif impliquera de nouveaux arbitrages entre sécurité et efficacité—mais l’incident Kelp DAO a montré que sacrifier la redondance pour l’efficacité coûte bien plus cher que prévu.

Conclusion

L’exploit de 293 millions de dollars sur Kelp DAO fut bien plus qu’un simple hack de grande ampleur : il a constitué un crash test grandeur nature du risque systémique en DeFi. En exploitant une faille de configuration du bridge, l’attaquant a déclenché une contagion à plusieurs niveaux, des actifs LRT aux principaux protocoles de prêt et à l’ensemble de l’écosystème DeFi, effaçant en deux jours 8,45 milliards de dollars de TVL sur Aave et plus de 13,2 milliards sur la capitalisation totale de la DeFi.

Face à cette crise, les protocoles ont connu des fortunes contrastées : Aave, par son acceptation large du collatéral, a subi une pression extrême ; Morpho, grâce à son architecture de marchés isolés, a contenu le risque à une portée minimale ; SparkLend, ayant retiré proactivement rsETH et d’autres actifs peu utilisés, est resté indemne. Ces résultats opposés illustrent une leçon centrale : en DeFi, la sécurité n’est pas qu’un ensemble de mesures techniques—c’est une question de philosophie architecturale.

Au 20 avril 2026, la réconciliation des réserves de Kelp DAO est toujours en attente, la résolution des créances douteuses d’Aave en discussion, et la véritable valeur de rsETH reste à réévaluer. Ces enjeux non résolus continueront de tester la résilience institutionnelle et la gouvernance de la DeFi. Une certitude s’impose néanmoins : cette crise de sécurité de 2026 laissera une empreinte durable dans l’histoire de la DeFi—obligeant l’industrie à repenser son modèle de croissance "efficiency-first" et à rechercher un nouvel équilibre entre sécurité et expansion.

The content herein does not constitute any offer, solicitation, or recommendation. You should always seek independent professional advice before making any investment decisions. Please note that Gate may restrict or prohibit the use of all or a portion of the Services from Restricted Locations. For more information, please read the User Agreement

Partager

Articles connexes
2022 vs 2026 : Analyse approfondie des évolutions structurelles du prix du Bitcoin face aux chocs des rendements du Trésor américain
WEB3
2022 vs 2026 : Analyse approfondie des évolutions structurelles du prix du Bitcoin face aux chocs des rendements du Trésor américain
Le rendement des bons du Trésor américain à 30 ans a grimpé à 5,12 %, atteignant son niveau le plus élevé depuis 2007. Le bitcoin a subi des pressions et est retombé aux alentours de 77 000 $.
Blog Team2026-05-18 15:02
Le Festival Pizza Gate Perp DEX démarre : tradez pour collecter des parts de pizza et débloquer des récompenses exclusives de 50 000 USDT
WEB3
Le Festival Pizza Gate Perp DEX démarre : tradez pour collecter des parts de pizza et débloquer des récompenses exclusives de 50 000 USDT
Pour célébrer le Bitcoin Pizza Day, Gate Perp DEX a officiellement lancé un événement spécial intitulé Pizza Festival.
Blog Team2026-05-20 16:09
Réalisez votre première transaction sur Perp, bénéficiez d’une réduction sur les frais de taker et recevez une boîte cadeau VIP
WEB3
Réalisez votre première transaction sur Perp, bénéficiez d’une réduction sur les frais de taker et recevez une boîte cadeau VIP
Pour récompenser les nouveaux utilisateurs sur Gate DEX, Gate lance une réduction temporaire des frais de trading pour les traders de contrats perpétuels effectuant leur première transaction.
Blog Team2026-06-04 19:15
Suivi de portefeuille
Traceur
Positions
Liste de Surveillance
App
À propos
Communautés
Commentaires