KelpDAO vulnérabilité déclenche une crise de confiance dans la DeFi : la TVL réduit de 14 milliards

Le 18 avril 2026, le pont cross-chain rsETH basé sur LayerZero de KelpDAO a été attaqué, l’attaquant ayant volé environ 116 500 rsETH en environ 46 minutes, pour une perte d’environ 292 millions de dollars, devenant ainsi le plus grand incident de sécurité DeFi à ce jour en 2026. La nature de cette attaque ne réside pas dans une vulnérabilité classique du code des contrats intelligents, mais dans une défaillance systémique du modèle de confiance cross-chain. KelpDAO a utilisé la solution de pont OFT de LayerZero, dont la sécurité dépend du réseau de validation décentralisé DVN. Cependant, KelpDAO a configuré une architecture à validation unique 1/1 pour le DVN — nécessitant la signature d’un seul nœud pour confirmer qu’un message cross-chain est « réel », alors que la documentation officielle de LayerZero recommande par défaut une configuration multi-signatures 2/2. L’attaquant a compromis ce nœud unique par ingénierie sociale, falsifiant un message cross-chain pour « forger de la monnaie », libérant ainsi du rsETH sans support d’actifs réel sur le réseau principal Ethereum.

Dans son enquête post-incident, LayerZero a initialement attribué l’attaque au groupe Lazarus de Corée du Nord, branche TraderTraitor, indiquant que l’attaquant a pollué les nœuds RPC en aval du DVN et, en coordination avec une attaque DDoS, a induit une défaillance pour faire croire que la transaction n’avait pas eu lieu, puis a falsifié le message. Cette voie technique révèle un problème structurel plus profond : lorsque la sécurité du pont cross-chain dépend entièrement d’un seul nœud de validation, ce nœud devient le talon d’Achille de tout le système.

Comment le rsETH volé s’est propagé vers Aave pour créer une énorme créance douteuse

L’attaquant a utilisé le rsETH forgé de toutes pièces comme garantie pour le déposer sur des plateformes de prêt comme Aave, puis a emprunté des actifs réels. Étant donné que ces rsETH ne sont pas soutenus par des actifs légitimes, cet emprunt crée une exposition potentielle à une créance douteuse pour le prêteur. Selon l’analyse on-chain, la valeur de rsETH en tant que garantie sur les L2 d’Aave, calculée via les prix des oracles, s’élève à environ 359 millions de dollars. Si ces positions sont exploitées avec le levier maximal, la perte potentielle pourrait atteindre environ 341 millions de dollars, sans couverture par le protocole Umbrella.

Ce n’est pas une faille du code des contrats intelligents d’Aave, mais une réaction en chaîne systémique causée par une « confiance erronée dans les actifs de garantie ». Après avoir injecté des tokens non garantis dans le pool de prêt, tous les utilisateurs dépendant de ce pool sont exposés à un risque potentiel de remboursement. La composabilité de DeFi joue ici un rôle à double tranchant : elle offre une efficacité de capital fluide entre protocoles, mais une défaillance de confiance dans un seul maillon peut se propager instantanément à tout l’écosystème.

Comment la panique des fonds a entraîné une chute brutale de 140 milliards de dollars de TVL

La panique s’est rapidement traduite en retrait massif de fonds. Selon DefiLlama, en 48 heures, le TVL total de DeFi est passé de 99,497 milliards de dollars à 86,286 milliards, une érosion d’environ 13,2 milliards. Aave a vu 8,45 milliards de dollars de retraits, faisant chuter son TVL à 17,947 milliards. Au 20 avril, le TVL de DeFi a encore reculé à environ 82,4 milliards, soit une baisse d’environ 25 % par rapport au début de 2026, où il atteignait environ 110 milliards.

Les retraits se concentrent dans les secteurs de prêt, de ré-pledge de liquidités et de protocoles de rendement, avec des pertes à deux chiffres en pourcentage pour des plateformes comme Euler, Sentora, etc. Fait intéressant, les prix des tokens réagissent relativement modérément : AAVE n’a chuté que d’environ 2,5 % au cours des 24 dernières heures, tandis que UNI et LINK ont perdu moins de 1 %. Cette divergence entre la situation de liquidité et la réaction des prix indique que le marché n’a pas encore pleinement intégré l’impact à long terme de l’incident — la sortie de fonds reflète une panique de liquidité, tandis que les détenteurs de tokens attendent probablement une clarification sur la gestion des créances douteuses.

Que signifie la suspension de 71 millions de dollars par le comité de sécurité d’Arbitrum ?

Le 21 avril 2026, le comité de sécurité d’Arbitrum a pris une action d’urgence : il a transféré 30 766 ETH détenus par l’attaquant vers un portefeuille de contrôle de gouvernance et a gelé ces fonds, d’une valeur d’environ 71 millions de dollars, récupérant ainsi environ un quart du total volé. Cette opération a été réalisée via une transaction système ArbitrumUnsignedTxType, une méthode qui ne peut pas être signée par une simple EOA et ne peut être injectée que par le comité de sécurité via ArbOS.

Cette intervention envoie deux signaux importants. D’une part, la capacité d’intervention d’urgence de la couche de gouvernance Layer 2 a été validée en pratique, ce qui constitue une étape clé dans la feuille de route d’expansion de Layer 2. D’autre part, ce type d’intervention de gouvernance sur les fonds des utilisateurs est extrêmement rare et controversé dans l’écosystème blockchain, car il introduit un contrôle discrétionnaire dans un réseau censé être sans permission. Arbitrum insiste sur le fait que cette action repose sur des informations de confirmation de l’identité de l’attaquant par des autorités légales, et n’a pas affecté d’autres utilisateurs ou applications. Cependant, cette précédente soulève une question plus profonde : lorsque « sans permission » rencontre un « attaquant de niveau étatique », où doit se situer la limite de la gouvernance décentralisée ?

Pourquoi l’avertissement public du fondateur de Curve sur les risques du modèle de prêt non isolé

Michael Egorov, fondateur de Curve Finance, a publié publiquement après l’incident que le problème de créance douteuse causé par l’attaque de KelpDAO met en lumière les risques potentiels du modèle de « prêt non isolé ». Il explique que ce modèle, bien qu’offrant une grande évolutivité, comporte un risque élevé et nécessite une gestion d’actifs plus stricte. Egorov souligne que la majorité des incidents de sécurité évitables récemment proviennent de défaillances centralisées, et que ces problèmes doivent être anticipés plutôt que corrigés après coup. Il appelle à ce que la Fondation Ethereum, la Fondation Solana et d’autres acteurs de l’écosystème établissent des standards de sécurité unifiés pour DeFi.

Egorov recommande notamment que des modèles de prêt entièrement isolés ou hybrides soient envisagés comme alternatives, et pense que la nouvelle architecture « hub and spoke » proposée par Aave v4 pourrait faire évoluer le modèle de prêt vers une sécurité accrue. Cette analyse touche au cœur du dilemme de DeFi : entre efficacité du capital et isolation des risques. Le modèle non isolé permet une circulation fluide des fonds entre protocoles, mais une crise de confiance dans un seul actif peut rapidement contaminer tout le réseau de prêt. La critique d’Egorov revient à se demander si DeFi a atteint un point où il faut sacrifier une partie de l’efficacité pour assurer la stabilité du système.

Trois voies de gestion des créances douteuses d’Aave et leurs coûts structurels

Le fondateur de DeFiLlama, 0xngmi, a esquissé trois stratégies possibles pour gérer la crise, chacune avec ses coûts et compromis.

La première consiste à socialiser la perte : réduire proportionnellement le solde de tous les détenteurs de rsETH de 18,5 % pour absorber la perte. En appliquant cette méthode à tous les collatéraux rsETH d’Aave, on estime une créance douteuse d’environ 216 millions de dollars, avec 55 millions couverts par le protocole Umbrella, 85 millions par le coffre d’Aave, et un déficit restant d’environ 76 millions. La logique est de répartir la perte entre tous les utilisateurs, mais cela ébranle la confiance fondamentale dans la sécurité des actifs du protocole.

La deuxième option ne couvre que le rsETH sur le réseau principal Ethereum, en traitant le rsETH sur L2 comme sans valeur. La valeur des collatéraux rsETH sur les L2 d’Aave, calculée à partir des prix actuels, s’élève à environ 359 millions de dollars. En utilisant un levier maximal, la perte pourrait atteindre environ 341 millions de dollars, sans couverture par Umbrella. Aave pourrait alors tenter de sauver une partie du marché via ses coffres ou emprunts, mais pourrait abandonner les chaînes les plus gravement touchées — Arbitrum, Mantle, Base — provoquant un effondrement de ces marchés. Cette solution réduit l’impact direct sur le réseau principal d’Aave, mais nuit gravement à la réputation globale des L2.

La troisième voie consiste à restaurer la distribution des actifs selon un snapshot avant l’attaque, en remboursant intégralement les adresses détenant du rsETH au moment de l’incident, et en laissant les autres assumer la perte lors de leur achat ou transfert ultérieur. Bien que cette solution couvre environ 91 millions de dollars de pertes après couverture Umbrella, la difficulté réside dans la circulation rapide des fonds après l’attaque : en tant que pool de liquidités, il est techniquement difficile de distinguer clairement les différentes lots de fonds déposés, rendant la mise en œuvre complexe.

Pourquoi avril 2026 marque-t-il un tournant en sécurité DeFi ?

L’incident de KelpDAO n’est pas isolé. En seulement 20 jours en avril 2026, les protocoles cryptographiques ont perdu plus de 606 millions de dollars à cause de piratages, établissant un record mensuel de pertes depuis février 2025. Le 1er avril, Drift Protocol, la plus grande plateforme de contrats perpétuels sur Solana, a été piratée pour 285 millions de dollars en 12 minutes. Les deux incidents, KelpDAO et Drift, représentent ensemble environ 95 % des pertes du mois.

Les données du rapport de SlowMist pour 2025 offrent une perspective à plus long terme : en 2025, 200 incidents de sécurité ont causé environ 2,935 milliards de dollars de pertes, une baisse de 51 % en nombre par rapport à 2024, mais une augmentation de 46 % en montant. Les projets DeFi sont les plus ciblés, avec 126 incidents représentant environ 63 % du total, pour des pertes d’environ 649 millions de dollars.

En reliant ces chiffres, une tendance claire apparaît : les attaquants visent moins la quantité d’incidents, mais des attaques plus sophistiquées, avec moins d’incidents mais des pertes plus importantes par incident. Dans l’incident KelpDAO, l’attaquant n’a pas exploité une vulnérabilité de code, mais une erreur de configuration dans le modèle de confiance — une évolution qui montre que les audits de sécurité traditionnels ne suffisent plus à couvrir le paysage actuel des menaces.

En résumé

L’incident de vulnérabilité cross-chain de KelpDAO constitue l’un des événements les plus marquants de la sécurité DeFi en 2026. Il met en lumière la vulnérabilité fondamentale d’une architecture à validation unique dans le modèle de confiance cross-chain, montre comment la crise d’actifs peut se propager rapidement dans un écosystème composable, et comment le risque peut être transféré à tout le marché du prêt via l’exposition à des créances douteuses d’Aave. L’intervention d’urgence du comité de sécurité d’Arbitrum pour récupérer une partie des fonds volés offre une voie limitée, mais soulève aussi une question profonde sur les limites de la gouvernance décentralisée.

L’avertissement d’Egorov sur le modèle de prêt non isolé et l’appel à des standards de sécurité unifiés illustrent que DeFi traverse une étape de réflexion structurelle. La tension entre efficacité du capital et sécurité du système n’a jamais été aussi aiguë — le « Lego » de la composabilité qui a alimenté la boom de DeFi est aujourd’hui mis à l’épreuve par la perte de confiance. L’incident d’avril 2026 envoie un signal clair : si les protocoles ne mettent pas en place des mécanismes d’isolation systémique, chaque vulnérabilité évitable continuera à miner la confiance à long terme dans l’industrie.

FAQ

Q : Quel est le montant direct de la perte causée par l’attaque de KelpDAO ?

L’attaquant a volé 116 500 rsETH, ce qui, au prix du marché à l’époque, représente environ 292 millions de dollars. Le comité de sécurité d’Arbitrum a gelé environ 71 millions de dollars, soit environ un quart du total.

Q : Quel est le risque de créance douteuse maximal pour Aave ?

Selon les différentes stratégies de gestion, le montant de la créance douteuse pour Aave varie entre 123,7 millions et 341 millions de dollars. Si la perte est limitée au L2, elle pourrait atteindre environ 341 millions, sans couverture par Umbrella.

Q : En quoi cette attaque diffère-t-elle d’autres incidents de sécurité DeFi ?

Ce n’est pas une vulnérabilité de code, mais un problème de configuration du pont cross-chain — KelpDAO a utilisé une configuration à validation unique 1/1, ce qui signifie qu’un seul nœud compromis peut faire tomber toute la confiance dans le système cross-chain.

Q : Quelles recommandations le fondateur de Curve, Egorov, a-t-il formulées ?

Il appelle à établir des standards de sécurité unifiés pour DeFi, à réduire le nombre de points de défaillance centralisés, et à concevoir des mécanismes de confiance distribuée lorsque des solutions centralisées sont nécessaires. Il recommande également que la Fondation Ethereum, la Fondation Solana et d’autres acteurs de l’écosystème prennent l’initiative de définir des principes et standards de sécurité.

Q : Qu’est-ce qui explique la forte baisse du TVL de DeFi ?

Elle résulte de deux facteurs : d’une part, des protocoles ont volontairement gelé des marchés affectés pour limiter les risques, d’autre part, une panique généralisée a conduit à des retraits massifs. La combinaison de ces deux phénomènes a fait chuter le TVL global d’environ 1100 milliards à 824 milliards de dollars.

Q : Quel sera l’impact à long terme de cet incident sur DeFi ?

Il a révélé des failles systémiques dans le modèle de prêt non isolé et dans la confiance dans l’architecture cross-chain, ce qui pourrait accélérer la transition vers des modèles plus sûrs, avec une meilleure isolation des risques. La discussion sur la nouvelle architecture « hub and spoke » d’Aave v4 et sur la normalisation des standards de sécurité pourrait devenir centrale dans l’évolution du secteur.