De l’attaque KelpDAO à Aave : crise des garanties rsETH et risques sur les réserves
Le 18 avril 2026, une attaque qui n’a touché aucun code de smart contract a entraîné la plus importante dette irrécouvrable de l’histoire d’Aave, l’un des principaux protocoles de prêt jusque-là épargné par les incidents de sécurité. L’attaquant a généré 116 500 rsETH à partir de rien via le pont inter-chaînes de KelpDAO, a déposé ces tokens non garantis sur Aave en tant que collatéral, a emprunté une grande quantité de WETH, puis a disparu. Selon les données de marché de Gate, au 22 avril 2026, le token AAVE s’échangeait à 92,51 $, en baisse de 7,72 % sur les 7 derniers jours, tandis que le sentiment de marché restait neutre. Toutefois, les inquiétudes du marché dépassent largement la question du prix du token : les réserves de sécurité Umbrella d’Aave pourront-elles couvrir cette dette irrécouvrable, qui pourrait atteindre jusqu’à 230,1 millions de dollars ? Cette crise risque-t-elle d’entraîner une contagion systémique plus large dans la DeFi ?
Une attaque chirurgicale en 46 minutes
À 17h35 (UTC) le 18 avril 2026, le pont inter-chaînes rsETH construit par KelpDAO sur la technologie LayerZero a été la cible d’une attaque. En 46 minutes, l’attaquant a libéré 116 500 rsETH depuis le réseau principal Ethereum, pour une valeur d’environ 292 millions de dollars à ce moment-là — soit près de 18 % de l’offre totale de rsETH en circulation. Le groupe multisignature d’urgence de KelpDAO a réagi environ 46 minutes plus tard en gelant les composants clés du protocole, dont le pool de liquidité LRT, les contrats de retrait, l’oracle et le token rsETH, bloquant ainsi deux tentatives de retrait supplémentaires totalisant 40 000 rsETH (environ 100 millions de dollars). Cependant, à ce stade, les 116 500 rsETH avaient déjà été transférés par l’attaquant vers huit adresses de sortie préconfigurées et injectés rapidement sur les marchés V3 et V4 d’Aave.
Cette attaque fait de l’incident KelpDAO le plus important exploit d’un protocole DeFi en 2026 à ce jour.
Chronologie des événements
| Heure (2026) | Événement clé |
|---|---|
| 18 avril, 17h35 UTC | L’attaquant envoie un message inter-chaînes falsifié au contrat de pont KelpDAO, libérant illégalement 116 500 rsETH |
| Dans les 46 minutes suivant l’attaque | Le multisig d’urgence de KelpDAO gèle les composants clés du protocole, intercepte de nouvelles tentatives de retrait |
| Dans les 6 minutes suivant l’attaque | L’attaquant dépose des rsETH sur Aave V3/V4 via 8 adresses préconfigurées, emprunte du WETH |
| Nuit du 19 avril | Les Guardians d’Aave gèlent les réserves rsETH/wrsETH des 11 marchés, fixent le LTV à zéro |
| 19 avril | Selon DefiLlama, le TVL d’Aave chute de 26,3 Mds$ à ~18 Mds$, soit 8,3 Mds$ évaporés en deux jours |
| 20 avril | LayerZero publie un rapport préliminaire, attribue l’attaque au groupe nord-coréen Lazarus (TraderTraitor) |
| 21 avril | Le Security Council d’Arbitrum gèle 30 766 ETH (~71 M$) liés à l’attaque |
- Pertes : 116 500 rsETH, soit environ 292 millions de dollars
- Marchés Aave concernés : 11, dont Ethereum Core, Arbitrum, Mantle, Base, Linea et autres
- Sortie de TVL sur Aave : ~8,3 milliards de dollars en deux jours
- TVL DeFi évaporé à l’échelle de l’industrie : ~10 milliards de dollars
Analyse technique approfondie
Cette attaque ne relève pas d’une faille classique de smart contract, mais d’un événement complexe combinant une « faille de configuration de pont » et une « attaque d’infrastructure de niveau étatique ». Le déroulement de l’attaque est le suivant :
Étape 1 : Obtention de la liste des nœuds RPC. L’attaquant a récupéré la liste des nœuds RPC utilisés par le réseau de validateurs décentralisés (DVN) de LayerZero Labs.
Étape 2 : Empoisonnement des nœuds RPC. L’attaquant a compromis deux de ces nœuds, remplaçant leurs binaires op-geth par des versions malveillantes. Ces nœuds servaient de fausses données spécifiquement aux adresses IP du DVN, tout en paraissant « honnêtes » pour les autres observateurs.
Étape 3 : DDoS et basculement. L’attaquant a lancé une attaque par déni de service distribué (DDoS) sur les autres nœuds non compromis, forçant le DVN à rediriger tout le trafic vers les nœuds empoisonnés.
Étape 4 : Envoi d’un message inter-chaînes falsifié. L’attaquant a soumis un faux message inter-chaînes, prétendument issu du déploiement Unichain de KelpDAO. S’appuyant sur un état falsifié de la blockchain fourni par les nœuds empoisonnés, le DVN a validé le message. Après un quorum multisig de 2/3, le message falsifié a été authentifié comme légitime.
Étape 5 : Libération de rsETH sur le mainnet Ethereum. L’attaquant a invoqué les fonctions commitVerification() et lzReceive(), amenant l’adaptateur OFT rsETH sur Ethereum à minter et libérer 116 500 rsETH vers son adresse.
Étape 6 : Sortie des fonds. L’attaquant a réparti les rsETH sur huit adresses préconfigurées, chacune ayant, en environ six minutes, déposé les rsETH sur Aave en collatéral, emprunté du WETH et déplacé les actifs.
Les données on-chain prouvent l’attaque : l’outboundNonce d’Unichain est resté à 307, le nonce 308 revendiqué par l’attaquant n’a jamais existé. Aucun événement PacketSent pour le nonce 308 n’a été émis, et l’offre totale de rsETH sur Unichain n’était que de 49,26 — rendant une destruction inter-chaînes de 116 500 mathématiquement impossible.
Évaluation de l’exposition au risque d’Aave
Selon un rapport d’incident publié le 21 avril par le fournisseur de services de risque LlamaRisk, l’attaquant a déposé 89 567 rsETH volés en collatéral sur plusieurs marchés Aave V3, empruntant environ 82 650 WETH (~191 millions de dollars) et 821 wstETH. Puisque ces rsETH ont été créés ex nihilo sans actifs sous-jacents réels, leur valeur de collatéral dans le système Aave est en réalité nulle, générant ainsi une dette irrécouvrable.
Aave fait face à deux scénarios de dette irrécouvrable, la résolution finale dépendant de la décision d’allocation des pertes par KelpDAO :
| Dimension | Scénario 1 : Mutualisation globale des pertes | Scénario 2 : Pertes limitées aux réseaux L2 |
|---|---|---|
| Montant de la dette irrécouvrable | ~123,7 millions de dollars | ~230,1 millions de dollars |
| Marchés principalement touchés | Ethereum Core | Mantle, Arbitrum |
| Données de risque clés | Réserves WETH suffisantes | Manque de 71,45 % sur Mantle, 26,67 % sur Arbitrum |
| Risque de décorrélation du rsETH | ~15 % | Plus élevé |
| Couverture Umbrella potentielle | Partielle | Difficile à couvrir |
Source : rapport d’incident LlamaRisk
Évaluation de la couverture des réserves
À la date de publication du rapport, les pools de fonds concernés d’Aave se présentent ainsi :
- Trésorerie de la DAO Aave : environ 181 millions de dollars d’actifs
- Réserve de sécurité Umbrella : entre 80 et 100 millions de dollars
- OG Safety Module : détient encore environ 300 millions de dollars en tokens AAVE ; une décote de 20 % pourrait fournir ~60 millions de dollars supplémentaires pour couvrir les pertes
Déficit de réserve projeté :
Dans le pire des cas (dette irrécouvrable de 230,1 millions de dollars), même après mobilisation de la réserve Umbrella (environ 55 millions), de la trésorerie Aave (environ 85 millions) et d’une décote de l’OG Safety Module (environ 60 millions), il resterait un trou d’environ 76 millions de dollars, qui devrait être comblé par emprunt ou vente de tokens AAVE.
Divergences d’opinion dans l’industrie
Cet incident a suscité des interprétations et attributions très contrastées dans l’écosystème, le débat se concentrant sur trois axes principaux :
Responsabilités en question
LayerZero a mis en avant les choix d’architecture de KelpDAO, soulignant que ce dernier utilisait une configuration « 1/1 DVN » — c’est-à-dire qu’un seul validateur pouvait approuver les messages inter-chaînes — alors que la bonne pratique du secteur est d’en utiliser plusieurs. LayerZero affirme avoir conseillé à plusieurs reprises à KelpDAO de migrer vers une configuration multi-DVN, ce qui n’a pas été fait, et a annoncé qu’il ne signerait plus de messages pour toute application utilisant une configuration 1/1 DVN.
KelpDAO a répondu qu’il fonctionnait sur l’infrastructure LayerZero depuis janvier 2024 et entretenait une communication ouverte avec l’équipe LayerZero. KelpDAO précise que la question de configuration DVN a été abordée lors de l’expansion sur les réseaux L2, le paramétrage par défaut ayant été explicitement validé, suggérant que la documentation et les recommandations de LayerZero portent également une part de responsabilité.
Des observateurs du secteur relèvent que l’attaquant a démontré sa capacité à « enchaîner les faiblesses d’infrastructure, d’applications et de relations de confiance ». Il ne s’agit pas d’une attaque opportuniste, mais d’une infiltration sophistiquée visant des systèmes complexes.
Évaluation de la réaction d’Aave
Les soutiens saluent la réactivité d’Aave — gel de tous les marchés rsETH/wrsETH en quelques heures, fixation du LTV à zéro, réduction des taux multi-chaînes sur le WETH, arrêt des prêts. Le fondateur d’Aave, Stani, a déclaré lors d’un AMA communautaire que les contrats principaux du protocole étaient restés sûrs et que les revenus mensuels d’environ 12 millions de dollars suffisaient à couvrir d’éventuelles pertes.
Les critiques soulignent que si les tokens AAVE mis en staking dans le safety module sont finalement utilisés pour combler le déficit, le coût de la faille de KelpDAO serait reporté sur les stakers d’Aave. Ils notent aussi que le mécanisme Umbrella, lancé il y a moins de deux mois, subit déjà un test de résistance extrême, son efficacité restant à démontrer.
Réflexions sur l’avenir de la DeFi
Le fondateur de DefiLlama, 0xngmi, observe que même les protocoles non directement touchés n’ont pas échappé à la panique : Aave a enregistré des sorties nettes de 6,2 milliards de dollars (-23 %) et près de 10 milliards de dollars de TVL DeFi se sont évaporés à l’échelle du secteur. Il déclare sans détour : « Il n’y a pas de gagnants dans ce genre d’incidents — seulement un "gâteau" qui rétrécit pour toute l’industrie. »
À l’inverse, certains estiment que si la « liste des hackers 2026 » a assombri l’ambiance, l’économie on-chain continue de croître — les capitalisations cumulées de l’USDT et de l’USDC atteignent environ 263 milliards de dollars, les bons du Trésor américains tokenisés dépassent 10,9 milliards, et les capitaux se déplacent vers des produits plus simples et plus transparents en termes de collatéral.
Analyse des impacts structurels sur le secteur
Changement de paradigme pour la sécurité DeFi
L’incident KelpDAO a révélé un angle mort structurel de la sécurité DeFi : les audits actuels se concentrent principalement sur le code des smart contracts, mais les attaquants peuvent contourner complètement le code et cibler l’infrastructure sous-jacente. Dans ce cas, l’attaquant a exploité l’empoisonnement des RPC et des attaques DDoS pour saper la fiabilité de la validation inter-chaînes, sans exploiter aucune faille de contrat. Cela élargit la surface de menace de la DeFi, qui passe de la « correction du code » à la « fiabilité de la validation » et à « l’intégrité de l’infrastructure ».
Des sociétés de recherche en sécurité notent que, combinée à l’exploit de 285 millions de dollars du protocole Drift début avril (abus de privilèges et failles de pré-signature), cette attaque illustre une tendance : les permissions de gouvernance, les processus de signature, les mécanismes de pont, les oracles et la configuration des paramètres sont aussi, voire plus, critiques que le code des smart contracts lui-même.
Impact sur le marché des tokens de liquid restaking
En tant que l’un des plus grands tokens de liquid restaking (LRT) de l’écosystème EigenLayer, la crise de confiance du rsETH se propage inévitablement à l’ensemble du secteur LRT. Avant l’incident, la valeur totale verrouillée du rsETH dépassait 1,5 milliard de dollars. Après l’attaque, tous les marchés liés au rsETH ont été gelés. Plus important encore, l’incident a confirmé un risque central des LRT inter-chaînes : lorsque les LRT reposent sur des ponts inter-chaînes pour circuler sur plusieurs réseaux, une faille sur le pont d’une seule chaîne peut mettre en péril les détenteurs de tokens sur tous les réseaux.
Test de crédibilité à long terme pour Aave
Bien que les contrats principaux d’Aave n’aient pas été compromis, la question de la « vérification de l’authenticité du collatéral » continuera de préoccuper la gouvernance d’Aave. Certains estiment que la priorité est d’établir un mécanisme de vérification de la provenance du collatéral, exigeant des actifs inter-chaînes comme le rsETH qu’ils fournissent des preuves Merkle en temps réel sur les actifs sous-jacents, afin que les oracles valident non seulement le prix mais aussi « l’authenticité de l’actif ». L’éventuelle mise en place d’une vérification renforcée du collatéral dans la V4 d’Aave sera suivie de près par l’industrie.
Accélération des tendances de migration du capital
La sortie de fonds déclenchée par l’incident n’a pas été homogène. Les données montrent qu’alors que le TVL global des protocoles DeFi a diminué, les capitalisations des stablecoins et des bons du Trésor tokenisés ont continué de croître — USDT a atteint 185 milliards de dollars, USDC 78 milliards, et les bons du Trésor tokenisés plus de 10,9 milliards. Cette divergence indique que les capitaux quittent les produits DeFi natifs complexes pour se diriger vers des solutions plus simples et transparentes. Le document stratégique 2026 de Visa sur les stablecoins note également que l’offre de stablecoins a progressé de plus de 50 % en 2025, et que 2026 marque un tournant pour l’adoption institutionnelle.
Conclusion
L’exploit de KelpDAO a mis en lumière une faille structurelle longtemps négligée dans la DeFi : la sécurité du code des smart contracts ne garantit pas la sécurité du système. Lorsqu’un attaquant peut dérober 292 millions de dollars sans toucher une seule ligne de code de contrat — simplement en sapant la fiabilité de l’infrastructure — c’est tout le paradigme de sécurité du secteur qui doit évoluer. Pour Aave, la résolution finale de la dette irrécouvrable dépendra d’une coordination multipartite et des décisions d’allocation de KelpDAO. Plus fondamentalement, cet incident va accélérer l’évolution des standards de sécurité DeFi — validation inter-chaînes redondante, preuve d’authenticité du collatéral, et isolation des risques entre protocoles ne sont plus de simples « options », mais des « conditions de survie ». Comme le souligne le fondateur de DefiLlama, il n’y a pas de gagnants dans ce genre d’incidents, mais l’industrie peut au moins en ressortir plus résiliente à travers ces épreuves.
Partager
