#rsETHAttackUpdate

L'exploitation rsETH : une plongée approfondie dans le plus grand piratage de la DeFi en 2026

Le 18 avril 2026, vers 17h35 UTC, l'écosystème de la finance décentralisée a été témoin de ce qui est devenu la plus grande exploitation de l'année lorsque des attaquants ont drainé environ 116 500 tokens rsETH du pont alimenté par LayerZero de Kelp DAO, représentant environ $292 millions de valeur et environ 18 % de l'offre en circulation du token. Cet incident a secoué tout le paysage de la DeFi, déclenchant des réponses d'urgence à travers plusieurs protocoles et exposant des vulnérabilités critiques dans l'architecture des ponts inter-chaînes.

**Comment l'attaque s'est déroulée**

L'exploitation visait la route LayerZero V2 Unichain vers Ethereum de Kelp DAO pour rsETH, qui était configurée avec une faille de sécurité critique : un réseau de vérificateurs décentralisés (DVN) configuré en un seul point. L'attaquant a réussi à forger un paquet entrant de Unichain vers Ethereum qui a été vérifié par une seule attestation DVN sans aucune transaction de brûlage source correspondante. Ce paquet malveillant, portant le nonce 308, a trompé l'adaptateur RSETH_OFTAdapter côté Ethereum pour libérer 116 500 rsETH vers l'adresse contrôlée par l'attaquant.

L'invariant fondamental du pont — que la quantité de rsETH verrouillée dans l'adaptateur Ethereum doit toujours être supérieure ou égale au total de rsETH minté sur toutes les chaînes distantes — a été brisé. Le solde de l'adaptateur est tombé de 116 723 rsETH à seulement 223 rsETH en un seul bloc. L'attaquant a tenté un second paquet forgé (nonce 309) pour 40 000 rsETH supplémentaires, mais cette exécution a été révoquée car Kelp avait déjà lancé des protocoles de gel d'urgence.

**La stratégie de contamination de la DeFi**

Plutôt que de simplement détenir les actifs volés, l'attaquant a exécuté une stratégie sophistiquée pour maximiser la valeur d'extraction. En quelques minutes, les 116 500 rsETH ont été répartis sur sept adresses secondaires. De là, les fonds ont suivi des chemins divergents : certains ont été fournis en tant que collatéral sur Aave V3 sur le réseau principal Ethereum, d'autres ont été bridés vers Arbitrum pour ouvrir des positions sur cette chaîne, et certains ont été routés via d'autres venues.

L'attaquant a déposé 89 567 rsETH sur les marchés Aave, empruntant environ 82 650 WETH d'une valeur de 190,86 millions de dollars et 821 wstETH d'une valeur de 2,33 millions de dollars. Les facteurs de santé de ces positions se situaient entre 1,01 et 1,03, indiquant qu'elles étaient délibérément maintenues près des seuils de liquidation pour maximiser l'effet de levier tout en évitant les liquidations forcées.

**Réponses immédiates des protocoles**

Les mécanismes de défense d'Aave se sont activés dans les heures suivant l'exploitation. Vers 19h00 UTC le 18 avril, le Gardien du protocole a gelé toutes les réserves de rsETH et wrsETH sur toutes les déploiements d'Aave V3, en mettant les ratios prêt/valeur à zéro. Cette action a désactivé toute nouvelle fourniture et emprunt tout en conservant la capacité de gestion des positions existantes. Les marchés affectés comprenaient Ethereum Core, Ethereum Prime, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma et zkSync.

Le Steward des Risques a ajusté les taux d'intérêt sur plusieurs chaînes, réduisant Slope2 à 1,50 % et abaissant les taux d'emprunt à 100 % d'utilisation de 8,5-10,5 % à 3,0 % APR pour assurer la durabilité. D'ici le 20 avril, le WETH a été gelé sur Core, Prime, Arbitrum, Base, Mantle et Linea pour empêcher la propagation du risque à d'autres réserves, y compris les stablecoins.

D'autres protocoles ont également agi rapidement. SparkLend, Fluid et Upshift ont suspendu leurs marchés rsETH. Upshift a spécifiquement arrêté les dépôts et retraits vers ses coffres High Growth ETH et Kelp Gain, bien que ses produits USDC et AUSD soient restés inchangés en raison de l'absence d'exposition à rsETH.

**Exposition financière actuelle et scénarios de mauvaise dette**

Selon les derniers rapports, aucune décision officielle de Kelp concernant l'allocation des pertes ou la récupération n'a été confirmée publiquement. Le solde actuel de l'adaptateur de 40 373 rsETH représente la seule garantie confirmée pour tous les rsETH en chaîne distante sur tous les chemins L2, contre un total de revendications à distance de 152 577 rsETH. Cela crée un écart de garantie significatif pouvant impacter la valorisation des tokens dans tout l'écosystème.

Les variables ouvertes affectant la résolution finale incluent la limite de socialisation — si une décote s'applique à tous les détenteurs de rsETH ou uniquement à ceux sur les chaînes affectées, ce qui seul modifie l'impact par token d'environ cinq fois — la taille et le calendrier de toute récupération ou recapitalisation, les mécanismes de tarification de rachat, et le traitement du rsETH minté via le chemin de pont compromis.

**Efforts de récupération à l’échelle de l’industrie**

La réponse à cette crise a démontré la nature collaborative de l'écosystème DeFi. Un fonds de récupération coordonné "DeFi United" a été lancé avec des contributions importantes de grands acteurs. La Fondation Golem et Factory ont promis 1 000 ETH, tandis que Lido Labs a engagé 5,7 millions de dollars. Le fondateur d'Aave, Stani Kulechov, a personnellement contribué 5 000 ETH aux efforts de récupération. La Fondation Ink a apporté un soutien non divulgué pour les efforts de restauration, et plus de 1 800 participants communautaires ont voté à l’unanimité pour le plan de sauvetage.

**Impact sur le marché et risques en cours**

L'exploitation a entraîné plus de $10 milliards de retraits d'Aave, avec des taux d'utilisation sur les pools USDC, USDT et wETH atteignant 100 %. Le token AAVE a connu une baisse d'environ 11 % suite à l'incident. Le token rsETH lui-même s'est dépegé de manière significative, se négociant à certains moments aussi bas que 1 723 dollars.

Malgré la gravité, la situation s’est stabilisée grâce à une action coordonnée de la communauté DeFi. Les marchés restent garantis malgré une utilisation élevée, avec un focus maintenant sur la restauration ordonnée du backing rsETH. Cependant, les utilisateurs doivent surveiller les canaux officiels de Kelp DAO, d'Aave et de LayerZero pour les résolutions finales, car la situation continue d’évoluer.

**Leçons et implications**

Cet incident met en lumière des vulnérabilités fondamentales dans l'architecture des ponts inter-chaînes, en particulier les risques liés aux configurations DVN à point unique de défaillance. La conception de restaking de rsETH a amplifié ces risques, soulignant comment les vulnérabilités de collatéral peuvent se propager à travers des protocoles DeFi interconnectés. L'attaque démontre l'importance cruciale de la vérification multi-signatures, des systèmes de surveillance robustes et des capacités de réponse rapide dans l'infrastructure de la finance décentralisée.

L'exploitation rsETH sert de rappel brutal que, si la DeFi offre une innovation financière sans précédent, elle comporte également des risques techniques importants qui nécessitent une vigilance constante, des pratiques de sécurité robustes et des mécanismes de réponse communautaire coordonnées pour y faire face efficacement.