Événements de sécurité DeFi 2026 : Analyse des risques inter-protocoles causés par la vulnérabilité de Kelp DAO et l'exposition de crédit d'Aave

Le 18 avril 2026 à 17h35 UTC, une transaction cross-chain apparemment ordinaire a déclenché l’un des événements de sécurité les plus transmissibles de l’histoire de la DeFi. La passerelle rsETH de Kelp DAO a été attaquée en raison d’une vulnérabilité de configuration, permettant à l’attaquant de forger 116 500 rsETH, d’une valeur d’environ 293 millions de dollars, représentant environ 18 % de l’offre totale de ce jeton. Cet incident a non seulement battu le record des pertes lors d’une seule attaque DeFi en 2026, mais a également déclenché une crise systémique via la composabilité entre protocoles DeFi : la TVL d’Aave a disparu de 8,45 milliards de dollars en deux jours, et la TVL totale de la DeFi sur toute la chaîne a été réduite de 13,21 milliards de dollars.

Cependant, l’incident de Kelp DAO n’est pas isolé. Au cours des quatre premiers mois de 2026, plusieurs incidents de sécurité ont eu lieu dans le domaine de la DeFi, avec des pertes cumulées de plusieurs centaines de millions de dollars. Des détournements de gouvernance aux exploitations de vulnérabilités de ponts, en passant par la manipulation d’oracles et les réentrées de contrats intelligents, les vecteurs d’attaque deviennent de plus en plus complexes, et le couplage profond entre protocoles amplifie la gravité des défaillances à un point critique.

Chronique de l’incident du pont Kelp DAO

Le 18 avril 2026 à 17h35 UTC, l’attaquant a exploité une vulnérabilité de configuration sur la passerelle LayerZero de Kelp DAO, en forgeant un message cross-chain pour déclencher la création de 116 500 rsETH sans véritable garantie en ETH. Après 46 minutes, Kelp DAO a utilisé une fonction de pause d’urgence multi-signatures pour suspendre les fonctionnalités du contrat rsETH sur le réseau principal Ethereum et plusieurs chaînes Layer 2. Pendant cette période, l’attaquant a tenté à deux reprises de forger 40 000 rsETH supplémentaires, mais chaque tentative a été annulée (revert) en raison du gel du contrat.

Après avoir réussi, l’attaquant n’a pas choisi de vendre directement ces rsETH sur le marché secondaire, mais a plutôt déposé la majorité en tant que collatéral sur Aave V3 et V4, empruntant du WETH et ETH réels. Selon les données on-chain, l’attaquant a obtenu environ 106 500 ETH via la mise en garantie et la vente, d’une valeur d’environ 250 millions de dollars.

Cette opération a exposé Aave à un risque de créances douteuses compris entre 177 et 236 millions de dollars. Aave a immédiatement gelé le marché rsETH sur Ethereum, Arbitrum, Optimism, Base et autres Layer 2, en ramenant le Loan-to-Value (LTV) de rsETH à 0. D’autres protocoles comme Compound et Euler ont également suspendu ou limité leurs opérations sur ces actifs.

De la vulnérabilité à la réaction en chaîne

Les réactions de la communauté face à la rapidité de la réponse de Kelp DAO font l’objet de débats. Certains estiment que 46 minutes pour réagir à un incident de pont cross-chain est une réponse rapide ; d’autres soulignent qu’entre 17h35 et 20h10, il s’est écoulé près de trois heures, période durant laquelle l’absence d’informations a alimenté la panic. Par ailleurs, la décision de Kelp DAO d’adopter une configuration 1/1 DVN pour la gouvernance a également suscité des discussions sur la suffisance des audits de sécurité.

Analyse des données et de la structure : une évaluation quantifiée de la réaction en chaîne

Vue d’ensemble de la sécurité DeFi en 2026

Fréquence des attaques et pertes

Au cours des 18 premiers jours d’avril 2026, les protocoles cryptographiques ont subi des attaques ayant causé plus de 606 millions de dollars de pertes, le mois le plus lourd depuis février 2025. Le 1er avril, Drift Protocol a perdu environ 285 millions USD suite à une prise de contrôle de gouvernance, et l’incident Kelp DAO a causé environ 293 millions USD de pertes, représentant la majorité des pertes du mois. La succession de ces attaques majeures témoigne d’une nouvelle phase de test de résistance pour la sécurité de la DeFi.

Tendances dans l’évolution des modes d’attaque

Les chercheurs en sécurité ont observé deux caractéristiques principales en 2026 : d’une part, une augmentation de l’exploitation des vulnérabilités de configuration des ponts cross-chain et des actifs dérivés, avec une pénétration accrue dans la configuration et la gouvernance ; d’autre part, une maîtrise croissante de l’utilisation de la composabilité des protocoles DeFi pour amplifier l’impact des attaques, transformant des vulnérabilités ponctuelles en chocs systémiques. L’incident Kelp DAO illustre cette tendance, avec l’attaquant utilisant la mise en garantie pour s’échapper plutôt que de vendre directement.

Analyse de l’impact sur Aave

Évolution de la TVL et des prix des tokens

Selon les données de Gate.io et on-chain, au 20 avril 2026, l’impact sur Aave est le suivant :

• Chute de la TVL : de 26,396 milliards USD avant l’attaque à 17,947 milliards USD, soit une baisse de 8,45 milliards USD en deux jours.
• Fuite nette : environ 6,2 milliards USD, soit une baisse d’environ 23 %.
• Montant des créances douteuses : entre 177 et 236 millions USD, principalement sur la paire rsETH/WETH sur Ethereum.
• Utilisation des fonds : le taux d’utilisation du marché WETH atteint 100 %, et les pools USDT et USDC sont également saturés, avec plus de 5,1 milliards USD de stablecoins verrouillés dans de nouvelles liquidités ou en remboursement.
• Retraits des baleines : Abraxas Capital a retiré environ 392 millions USD, MEXC environ 431 millions USD, et une baleine liée à Nonco a retiré environ 405,7 millions USD.

Jugement sur la sécurité des contrats principaux d’Aave

Il est important de noter que cet incident ne concerne pas une faille dans le contrat principal d’Aave. L’attaquant a exploité une vulnérabilité de configuration du pont Kelp DAO pour forger des “garanties d’air” et emprunter des actifs réels via la composabilité entre protocoles. Stani, fondateur d’Aave, a confirmé lors d’un AMA que cet incident est une “contamination en amont” plutôt qu’une faille du protocole. Ce point fait consensus parmi les experts en sécurité.

Deux scénarios pour combler le déficit de créances douteuses

Deux hypothèses existent pour la réparation des pertes : d’une part, une absorption progressive via la réserve du protocole et un revenu mensuel d’environ 12 millions USD ; d’autre part, si le déficit dépasse la capacité de la réserve, il pourrait être nécessaire d’utiliser les jetons AAVE mis en garantie dans le module de sécurité, transférant ainsi le coût de la vulnérabilité de Kelp DAO aux stakers les plus fidèles d’Aave. Au 20 avril, aucune décision finale n’a été annoncée.

Analyse du prix de rsETH et de son dépegging

Évolution de la circulation de rsETH

L’attaque a forgé 116 500 rsETH (environ 18 % de l’offre en circulation) sans véritable garantie en ETH. La valeur de rsETH sur plus de 20 chaînes est incertaine, en attente de la réconciliation des réserves et de l’offre en circulation par Kelp.

Remise en question du mécanisme de fixation du prix de rsETH

Les analystes soulignent que, en tant que Liquid Restaking Token (LRT), la valeur de rsETH dépend fortement de l’intégrité des réserves en ETH sous-jacentes. Toute fissure entre réserve et offre en circulation pourrait faire vaciller la fixation du prix. La configuration 1/1 DVN de Kelp DAO concentre la responsabilité de la validation cross-chain sur un seul nœud, ce qui, tout en améliorant l’efficacité, sacrifie la redondance de sécurité, exposant la vulnérabilité systémique des actifs de type LRT dans un contexte cross-chain.

Validation de la stratégie prudente de SparkLend

Précaution de Spark Protocol

Monetsupply.eth, responsable de la stratégie chez Spark Protocol, a révélé qu’en janvier 2026, Spark avait déjà retiré de la liste des actifs peu utilisés, dont rsETH, et resserré la sélection des collatéraux. Bien que cette décision ait suscité la mécontentement des utilisateurs de levier ETH, elle s’est révélée extrêmement prudente lors de l’incident Kelp DAO.

Comparaison de la liquidité

Face à la tension sur la liquidité ETH causée par le risque rsETH sur Aave, SparkLend a maintenu une liquidité suffisante en ETH. La plateforme a également adopté une limite supérieure de taux d’intérêt sur le prêt ETH, laissant une partie de ses activités à Aave, tout en construisant un bilan plus sain.

Importance de la sélection des actifs à risque

La décision de Spark de retirer rsETH en amont illustre un principe clé : dans les protocoles de prêt DeFi, la qualité des collatéraux prime sur l’expansion de la gamme d’actifs pour augmenter la TVL. En cas d’événement extrême, une norme laxiste d’acceptation des collatéraux peut devenir une porte d’entrée à la vulnérabilité du système, tandis qu’une sélection prudente constitue la première ligne de défense.

Reconfiguration possible du paysage concurrentiel des protocoles de prêt

Après cet incident, la logique de compétition entre protocoles de prêt DeFi pourrait évoluer. La croissance basée sur la “maximisation de la TVL” sera réévaluée par la communauté et les investisseurs, avec une attention accrue portée à la qualité des actifs et à la capacité d’isolation des risques. La stratégie de Spark, reconnue positivement après la crise, pourrait inciter d’autres protocoles à revoir leur sélection d’actifs.

Dialogue entre la communauté, les équipes de développement et les chercheurs en sécurité

Opinion communautaire : de la panique à la réflexion

Fuite de fonds panique et discussion de données

Après l’incident, les discussions sur X, en chinois et en anglais, ont dépassé le milliard de messages en quelques heures. Au début, la communauté s’est concentrée sur la panique et la crainte pour la sécurité des actifs. 0xngmi, fondateur de DeFiLlama, a indiqué que même les protocoles non directement affectés sur Solana ont connu des sorties de fonds. Il a ajouté que la TVL totale de la DeFi a ainsi évaporé près de 100 milliards USD, “dans ce genre d’incidents, il n’y a pas de gagnants, seulement un affaiblissement du ‘gâteau’, tout le monde en souffre”.

Divisions sur la gestion des risques d’Aave

Après le gel du marché rsETH, la communauté a exprimé deux points de vue : certains soutiennent que la réponse rapide d’Aave a empêché une aggravation des créances douteuses, montrant la résilience des protocoles décentralisés ; d’autres critiquent la gestion des risques, notamment le fait qu’Aave ait accepté rsETH comme collatéral alors que Spark l’avait déjà retiré en janvier.

Réponse des équipes et des protocoles

Déclarations publiques

• Kelp DAO : le compte officiel sur X a confirmé “une activité suspecte sur rsETH cross-chain” et a indiqué avoir lancé une enquête avec LayerZero, des auditeurs et des experts en sécurité.
• LayerZero : a répondu “au courant de l’incident, en investigation pour la cause racine”.
• Aave : a déclaré que rsETH sur Ethereum est “bien supporté”, mais reste en état de gel par précaution, avec une exposition limitée.

Controverse sur la responsabilité

Les chercheurs en sécurité estiment généralement que la décision de Kelp DAO d’utiliser une configuration 1/1 DVN est à l’origine de l’incident. Cependant, la responsabilité fait l’objet de débats : certains pensent que Kelp DAO, en tant que développeur, doit en assumer la majorité, tandis que d’autres soulignent que LayerZero, en tant que fournisseur d’infrastructure cross-chain, aurait dû mieux encadrer la configuration et promouvoir les bonnes pratiques.

Perspective des chercheurs en sécurité

Qualité technique de la vulnérabilité

Plusieurs experts ont publié des analyses approfondies sur X, indiquant que la vulnérabilité principale réside dans la configuration du LayerZero OApp par Kelp DAO : en utilisant un mode 1/1 DVN, ils ont introduit un risque de point unique de défaillance. L’attaquant, en construisant soigneusement la charge utile (payload), a pu générer une validation cross-chain falsifiée, déclenchant la création de rsETH sans actifs réels, pour une valeur proche de 3 milliards USD.

Analogie avec des incidents historiques et enseignements

Les chercheurs comparent cet incident à celui de Nomad en 2022 : tous deux impliquent une faille dans la configuration de la validation cross-chain, permettant à l’attaquant de contourner la vérification des messages. Après Nomad, la vigilance sur la sécurité des ponts a augmenté, mais avec l’évolution des architectures et des actifs complexes comme les LRT, de nouvelles vulnérabilités apparaissent. L’incident Kelp DAO montre que la sécurité des ponts reste un défi majeur, d’autant plus que la complexité des actifs augmente.

Analyse de l’impact sectoriel : du point faible unique à la propagation systémique

Impact sur la confiance dans la voie LRT

Les risques de fixation de valeur des actifs LRT

rsETH, en tant qu’actif représentatif de la voie LRT, voit sa valeur mise à l’épreuve. La vulnérabilité du pont cross-chain peut créer des tokens “sans ancrage” sans toucher aux réserves en ETH, ce qui remet en question la confiance dans la fixation de leur prix. La configuration 1/1 DVN de Kelp DAO concentre la responsabilité de validation sur un seul nœud, ce qui, tout en améliorant l’efficacité, fragilise la sécurité systémique des actifs LRT dans un contexte cross-chain.

Renforcement des standards de transparence et d’audit

Suite à l’incident, l’industrie pourrait renforcer la transparence des réserves et les audits des protocoles LRT. Kelp DAO devra publier ses résultats de réconciliation pour prouver la cohérence entre réserves et circulation de rsETH. Cela pourrait devenir un point de référence pour la normalisation des standards de sécurité dans la voie LRT.

Réévaluation de la capacité d’isolation des risques des protocoles de prêt

Avantages de l’architecture Morpho

Dans cet incident, Morpho a montré l’intérêt de son architecture d’isolation : en limitant l’exposition à rsETH à environ 1 million USD dans deux marchés séparés, il n’a pas entraîné de propagation systémique. En revanche, le design unifié d’Aave a permis à la contamination d’un seul actif de se propager rapidement à l’ensemble du protocole.

L’importance de la conception architecturale

La différence de performance entre Morpho et Aave souligne que, dans la sécurité DeFi, la conception architecturale de l’isolation des risques est plus fondamentale que la simple gestion des risques après coup. La mise en place de marchés isolés, même si elle réduit l’efficacité du capital, offre une protection contre les événements extrêmes.

Sécurité des ponts cross-chain : une vieille problématique sous une nouvelle forme

Risques liés aux paramètres de configuration LayerZero

L’origine technique de l’incident réside dans la décision de configuration 1/1 DVN. Ce mode introduit un point de défaillance unique dans la validation cross-chain : l’attaquant n’a besoin de compromettre qu’un seul nœud pour falsifier la validation. LayerZero, en tant qu’infrastructure, doit équilibrer flexibilité et sécurité, mais cette flexibilité accrue comporte aussi des risques.

Promotion des bonnes pratiques de sécurité cross-chain

Après l’incident, l’industrie pourrait accélérer la standardisation des bonnes pratiques pour la sécurité des ponts : validation multi-DVN, mécanismes de time-lock, limites de transaction, etc. Curve Finance a suspendu ses infrastructures LayerZero pour évaluation, une démarche susceptible d’être imitée par d’autres protocoles.

Scénarios d’évolution : de la crise actuelle aux futurs chemins de la sécurité DeFi

Chemin de référence : gestion progressive de la crise, renforcement de la résilience

Dans ce scénario, Aave utilise ses réserves et ses revenus pour absorber progressivement le déficit, Kelp DAO termine la réconciliation et publie la vérification de la circulation restante de rsETH, et l’industrie se remet après une période de turbulence. Les variables clés incluent : la capacité d’Aave à combler le déficit sans recourir à la pénalité de sécurité, la fiabilité de la vérification de Kelp DAO, et la capacité des autres protocoles LRT à restaurer la confiance.

Chemin de pression : chute du prix ETH et liquidation secondaire

Monetsupply.eth, responsable de la stratégie chez Spark, avertit que, puisque ETH est la principale garantie, une utilisation à 100 % pourrait rendre la liquidation impossible. Si le prix ETH chute de 15 à 20 %, cela pourrait entraîner une accumulation significative de créances douteuses. Dans ce cas, le module de sécurité d’Aave pourrait devoir intervenir massivement, les détenteurs de jetons supportant directement la perte. La boucle vicieuse pourrait alors s’enclencher : liquidité ETH insuffisante, échec des liquidations, augmentation des créances douteuses, impact sur d’autres protocoles dépendants d’ETH.

Chemin de reconstruction : une refonte systémique de la sécurité DeFi

Cet incident pourrait catalyser une refonte de la sécurité dans la DeFi. Les évolutions possibles incluent : établissement de standards pour la configuration des ponts cross-chain (validation multi-DVN, verrouillage temporel, limites de transaction), mécanismes de preuve de réserve pour les actifs LRT (réconciliation quotidienne ou en temps réel), renforcement des critères d’admission pour les actifs à risque élevé, exploration de l’isolation des marchés dans les principaux protocoles de prêt. Ces changements nécessitent un nouvel équilibre entre sécurité et efficacité, mais l’incident Kelp DAO montre que sacrifier la sécurité pour la seule efficacité peut coûter bien plus cher.

Conclusion

L’incident de Kelp DAO, avec ses pertes de 293 millions USD, n’est pas qu’une attaque massive : c’est une démonstration concrète du risque systémique dans la DeFi. En exploitant une vulnérabilité de configuration d’un pont, l’attaquant a déclenché une réaction en chaîne à plusieurs niveaux, affectant Aave, d’autres protocoles, et l’ensemble de l’écosystème. La différence de réaction entre protocoles — Morpho avec son architecture d’isolation, SparkLend avec sa stratégie prudente — illustre que la sécurité en DeFi ne se limite pas à des mesures techniques, mais repose aussi sur une philosophie d’architecture.

Au 20 avril 2026, la réconciliation des réserves de Kelp DAO n’a pas encore été publiée, le plan de compensation d’Aave reste en discussion, et la valeur réelle de rsETH est encore à réévaluer. Ces incertitudes continueront de tester la résilience et la gouvernance de l’écosystème DeFi. Ce qui est certain, c’est que cette crise de sécurité laissera une empreinte durable dans l’histoire de la DeFi : elle oblige l’industrie à repenser la croissance axée sur l’efficacité, en trouvant un nouvel équilibre entre sécurité et expansion.