Le 18 avril 2026 à 17h35 (UTC), le pont inter-chaînes rsETH de Kelp DAO a subi une attaque majeure. En seulement 46 minutes, l’attaquant a frappé environ 116 500 rsETH à partir de rien—pour une valeur d’environ 293 millions de dollars à ce moment-là, soit près de 18 % de l’offre totale en circulation du token. La cause principale n’était pas un bug dans le smart contract, mais un paramètre de déploiement négligé : Kelp DAO avait configuré son DVN (Decentralized Verifier Network) sur 1/1—ce qui signifie qu’un seul nœud validateur pouvait approuver les messages inter-chaînes. L’attaquant a compromis l’infrastructure RPC sur laquelle reposait ce validateur unique, puis a forgé un message inter-chaînes affirmant que « les actifs rsETH ont été verrouillés sur la chaîne source ». Faute de vérification robuste sur la chaîne source, le smart contract du pont Kelp a exécuté directement l’opération de libération.
La documentation officielle de LayerZero recommande une configuration DVN en 2/2, impliquant plusieurs validateurs pour assurer la redondance. Cependant, Kelp DAO a choisi le seuil le plus extrême, soit « 1 sur 1 ». Cette configuration a créé un point de défaillance unique, exploitable par les attaquants. Les outils d’audit de sécurité classiques comme Slither et Mythril se concentrent sur les vulnérabilités du code des smart contracts, mais sont quasiment impuissants face aux risques liés à la configuration. Cela met en lumière une faille structurelle : la sécurité des protocoles DeFi dépend non seulement de la qualité du code, mais aussi de la prudence dans les paramètres de déploiement.
Comment des collatéraux fictifs ont infiltré le système de prêt Aave
Après avoir acquis ce lot de rsETH non adossés, l’attaquant ne les a pas immédiatement écoulés sur les marchés secondaires—la liquidité sur rsETH étant limitée, d’importantes ventes auraient entraîné une forte glissade des prix. À la place, l’attaquant a utilisé ces « tokens aériens » comme collatéral, les déposant sur des protocoles de prêt majeurs tels que Aave V3, et a emprunté environ 236 millions de dollars en WETH et ETH réels. C’est le tournant critique de l’attaque : l’attaquant n’a pas compromis les contrats principaux d’Aave, mais a exploité la composabilité de la DeFi, utilisant la faille de Kelp DAO comme tremplin pour emprunter de vrais actifs on-chain sur Aave, en ne laissant derrière lui qu’un collatéral sans valeur.
En tant que token de liquid restaking, les actifs sous-jacents du rsETH devraient provenir de réserves réelles sur le pont inter-chaînes. Une fois ces réserves épuisées, l’ancrage de valeur du rsETH s’est effondré instantanément. Cependant, l’oracle d’Aave continuait de valoriser ces tokens collatéraux selon les niveaux précédant l’attaque, rendant impossible toute liquidation efficace des positions d’emprunt. L’équipe d’Aave a réagi rapidement en gelant les marchés rsETH sur Ethereum mainnet ainsi que sur Arbitrum, Optimism, Base, Mantle et Linea, et en fixant le ratio Loan-to-Value (LTV) du rsETH à zéro—bloquant techniquement tout nouvel emprunt.
Pourquoi l’utilisation des pools a-t-elle grimpé à 100 % ?
Suite à l’attaque, Aave a connu une véritable ruée sur la liquidité. Des retraits massifs ont fait grimper l’utilisation du pool WETH à 100 %—toute la liquidité disponible a été empruntée, empêchant les déposants de retirer leurs fonds. Parallèlement, le taux d’emprunt annualisé pour l’USDT a bondi à 14,99 %, les taux de dépôt atteignant 13,39 %. Ces fluctuations extrêmes reflètent un déséquilibre soudain entre l’offre et la demande de liquidité.
Ce phénomène combine une crise du crédit et une crise de liquidité. Si le mécanisme de taux d’intérêt permet d’absorber les fluctuations normales de liquidité, il ne peut pas traiter une crise du crédit liée à « l’authenticité » du collatéral. Dès que les déposants ont compris que le collatéral rsETH pouvait être irrécouvrable, la réaction rationnelle a été de retirer immédiatement leurs fonds. Lorsque tout le monde agit ainsi, la liquidité du pool s’assèche presque instantanément. C’est ainsi que l’impact de la faille de Kelp a été démultiplié—les contrats principaux d’Aave sont restés intacts, mais l’effondrement du crédit du collatéral en amont a directement déclenché une tension de liquidité en aval.
La logique derrière l’évaporation de 9 milliards de dollars de TVL
Les données montrent que la TVL (Total Value Locked) d’Aave est passée d’environ 26,4 milliards de dollars avant l’incident à près de 18 milliards en 48 heures—soit une perte d’environ 8,4 milliards, ou plus de 31 %. Sur la même période, la TVL totale de la DeFi sur toutes les chaînes a chuté de 99,49 milliards à 86,29 milliards de dollars, soit une baisse d’environ 13,2 milliards. En tenant compte des retraits sur les marchés liés comme le liquid restaking et les stratégies de rendement, la valeur totale sortie de l’écosystème DeFi approche les 9 milliards de dollars.
Les retraits de type « whale » ont été le principal moteur de la chute de la TVL. Les données on-chain montrent qu’Abraxas Capital a retiré 392 millions de dollars, MEXC a retiré 431 millions, et une autre baleine a retiré plus de 400 millions en une seule transaction. Ces sorties massives sont des mesures claires de couverture du risque : avec l’incertitude persistante sur la garantie du rsETH, toute exposition au risque rsETH devenait irrationnelle. L’ampleur et la rapidité de ces retraits ont établi de nouveaux records dans la DeFi, illustrant la réévaluation agressive du risque de crédit des actifs inter-chaînes par le marché.
124 millions ou 230 millions de dollars de créances douteuses ? Le dilemme entre deux scénarios de résolution
Le montant final des créances douteuses dépendra du plan de résolution que la gouvernance d’Aave adoptera. Selon un rapport du fournisseur de risque LlamaRisk, Aave a présenté deux scénarios principaux.
Scénario 1 (Pertes socialisées sur toutes les chaînes) : Les pertes sont réparties proportionnellement entre tous les détenteurs de rsETH. LlamaRisk estime que cela entraînerait un décrochage du rsETH d’environ 15 %, avec environ 124 millions de dollars de créances douteuses absorbées par Aave.
Scénario 2 (Isolation L2) : Les pertes sont limitées au rsETH sur les chaînes L2, le rsETH sur Ethereum mainnet étant préservé. Toutefois, cette approche aboutit à une créance douteuse plus élevée—le collatéral inter-chaînes serait décoté de 73,54 %, et la créance douteuse d’Aave atteindrait environ 230,1 millions de dollars, Mantle représentant 71,45 % de l’écart et Arbitrum 26,67 %.
L’écart entre les deux scénarios avoisine les 100 millions de dollars. Au fond, il s’agit d’une question « politique » de répartition du risque : les pertes doivent-elles être partagées par tous les utilisateurs sur toutes les chaînes, ou seulement par les détenteurs sur certaines chaînes ? Le trésor de la DAO Aave détient actuellement environ 181 millions de dollars de réserves ; le scénario deux dépasserait ce matelas. Par ailleurs, la réserve de sécurité Umbrella est évaluée entre 80 et 100 millions de dollars, et la DAO Aave a généré 145 millions de dollars de revenus en 2025. En théorie, ces ressources pourraient contribuer à couvrir les créances douteuses, mais la manière de le faire sans léser les utilisateurs du protocole principal reste un défi de gouvernance majeur.
D’un point de défaillance unique au risque systémique—la propagation du risque de liquidation
Le fondateur de DeFiLlama, 0xngmi, a exposé trois pistes possibles pour KelpDAO, chacune comportant ses propres limites.
Voie 1 (Perte socialisée) : KelpDAO impose une décote de 18,5 % à tous les détenteurs de rsETH. Avec environ 666 000 rsETH déposés en collatéral sur Aave, en supposant qu’ils soient tous à 95 % de LTV de liquidation, cela représenterait environ 216 millions de dollars de créances douteuses.
Voie 2 (Isolation L2) : KelpDAO ne protège que le rsETH sur le mainnet, considérant le rsETH sur L2 comme sans valeur. Actuellement, Aave L2 compte environ 359 millions de dollars de rsETH en collatéral ; si tous sont utilisés à effet de levier maximal, la créance douteuse pourrait atteindre 341 millions de dollars, sans couverture du protocole Umbrella—ce qui pourrait entraîner des effondrements de marché sur Arbitrum, Mantle et Base.
Voie 3 (Remboursement par snapshot) : Seuls les détenteurs de rsETH avant l’attaque seraient indemnisés via un snapshot. Toutefois, comme les fonds ont circulé rapidement après l’attaque et que les protocoles DeFi sont par nature des pools de liquidité, il est pratiquement impossible de distinguer techniquement les différentes tranches de dépôts.
Ces trois scénarios montrent une chose : le risque de liquidation ne se propage pas de manière linéaire, mais présente une véritable « stratification du risque »—les expositions diffèrent significativement entre le mainnet et les L2, et entre les différents L2. Cette divergence structurelle rend la répartition finale des créances douteuses très incertaine.
Enseignements structurels—les limites de l’authenticité du collatéral dans la DeFi
L’impact le plus profond de cet incident sur la DeFi ne réside pas dans le montant des créances douteuses, mais dans l’angle mort structurel qu’il a révélé dans la gestion du risque collatéral. Les contrats principaux d’Aave n’ont pas été compromis, mais l’effondrement du crédit du collatéral en amont a directement affecté le prêt en aval. Cela signifie que la sécurité des protocoles DeFi ne se limite plus à un « code sans bug », mais dépend de la fiabilité de toute la chaîne technique et de gouvernance derrière le collatéral accepté.
L’empilement de ponts inter-chaînes, de restaking et de protocoles de prêt implique que la moindre faiblesse dans la chaîne du collatéral peut être amplifiée en un choc systémique. Lorsque le « poids » d’un token collatéral ne correspond plus à des actifs sous-jacents réels, les modèles de risque des protocoles de prêt passent du « risque de volatilité » au « risque d’authenticité »—un scénario rarement couvert par les stress tests standards. Aave a fixé le LTV du rsETH à zéro et gelé les réserves WETH sur tous les marchés concernés, mais il s’agit de mesures a posteriori qui ne peuvent que contenir les répercussions, sans récupérer les pertes déjà subies.
À l’avenir, les protocoles de prêt DeFi devront réévaluer en profondeur les standards de collatéral pour les tokens inter-chaînes et de restaking. Les configurations à validateur unique, la sécurité de la validation des messages inter-chaînes et les mécanismes de vérification de l’authenticité des collatéraux deviendront des sujets centraux pour les cadres de gestion du risque.
Conclusion
La faille de configuration DVN 1/1 chez Kelp DAO a été le déclencheur immédiat de cet incident, mais la problématique plus profonde réside dans l’incapacité systémique de la DeFi à vérifier l’authenticité des collatéraux. L’attaquant a forgé des messages inter-chaînes pour frapper environ 293 millions de dollars de rsETH à partir de rien, puis les a utilisés comme collatéral sur Aave pour emprunter de vrais actifs, générant au final entre 124 et 230 millions de dollars de créances douteuses. La TVL s’est évaporée de près de 8,4 milliards de dollars en 48 heures, avec des sorties totales de la DeFi dépassant 13 milliards. L’utilisation des pools a atteint 100 %, et les taux d’intérêt ont connu des variations extrêmes. La gouvernance d’Aave fait désormais face à un choix difficile—pertes socialisées ou isolation L2—chacune impliquant des coûts et des controverses majeurs. Cet événement marque un changement de paradigme dans la gestion du risque DeFi : la sécurité des protocoles dépend désormais non seulement de la qualité du code, mais aussi de la fiabilité de toute la chaîne technique et de gouvernance derrière le collatéral. La configuration des ponts inter-chaînes, la redondance des validateurs et la vérification de l’authenticité des collatéraux seront les prochains enjeux majeurs du contrôle du risque DeFi.
Foire aux questions (FAQ)
Q : Le smart contract d’Aave a-t-il lui-même été compromis ?
R : Non. La vulnérabilité principale provenait de la configuration du pont inter-chaînes de Kelp DAO. Les contrats principaux d’Aave n’ont pas été compromis ; il s’agit d’un cas de propagation du risque par « contamination amont ».
Q : Qui assumera au final les créances douteuses d’Aave ?
R : Cela dépendra de la décision finale de la gouvernance d’Aave. Les principales options sont : pertes socialisées sur tous les détenteurs de rsETH (environ 124 millions de dollars de créances douteuses), ou isolation L2 (environ 230 millions de dollars de créances douteuses).
Q : Comment évolue le prix du token AAVE ?
R : Au 22 avril 2026, le prix en temps réel d’AAVE sur Gate est d’environ 91,16 dollars. Avant l’incident, le prix d’AAVE était autour de 115 dollars, soit une baisse de plus de 20 %.
Q : Qu’est-ce que la configuration DVN et pourquoi 1/1 est-il risqué ?
R : Le DVN (Decentralized Verifier Network) est le mécanisme de validation des messages dans le protocole inter-chaînes de LayerZero. Une configuration 1/1 signifie qu’un seul validateur peut approuver n’importe quel message inter-chaînes ; si ce nœud est compromis, les attaquants peuvent forger n’importe quel message.
Q : Les actifs sous-jacents du rsETH sont-ils actuellement en sécurité ?
R : Kelp n’a pas encore publié de bilan final des réserves et de l’offre en circulation. La garantie du rsETH sur toutes les chaînes reste incertaine, ce qui est la principale raison pour laquelle Aave ne peut pas déclencher de liquidations.
Q : Quelles sont les implications à long terme de cet événement pour la DeFi ?
R : L’incident a révélé un manque systémique de vérification de l’authenticité du collatéral inter-chaînes. À l’avenir, les protocoles de prêt imposeront des standards plus stricts pour les tokens inter-chaînes et de restaking, et les configurations à validateur unique devraient progressivement disparaître.
