Du piratage de KelpDAO au risque de créances douteuses d'Aave : analyse de la crise des garanties rsETH et du mécanisme de couverture des réserves

18 avril 2026, une attaque sans toucher à aucun code de contrat intelligent a causé le plus grand défaut de paiement de l’histoire d’Aave, un protocole de prêt de premier plan qui n’avait jamais connu d’incident de sécurité. L’attaquant a forgé de toute pièce 116 500 rsETH à partir de la passerelle cross-chain de KelpDAO, puis a déposé ces jetons sans actifs réels en garantie sur Aave, emprunté une grande quantité de WETH, puis a disparu. Selon les données de Gate Market, au 22 avril 2026, le prix du jeton AAVE était de 92,51 dollars, en baisse de 7,72 % sur 7 jours, avec une humeur du marché neutre. Cependant, l’intérêt du marché ne se limite pas au prix du jeton — la question est de savoir si la réserve de sécurité Umbrella d’Aave peut couvrir cette créance irrécouvrable pouvant atteindre 230,1 millions de dollars. Cette crise pourrait-elle déclencher une contagion systémique plus large dans la DeFi ?

Attaque précise en quarante-six minutes

Le 18 avril 2026 à 17h35 UTC, la passerelle cross-chain rsETH construite par LayerZero pour KelpDAO a été attaquée. En 46 minutes, l’attaquant a libéré 116 500 rsETH depuis le réseau principal Ethereum. Selon le prix du marché à ce moment, cela valait environ 292 millions de dollars, représentant près de 18 % de l’offre totale en circulation de rsETH. Le groupe de multisignatures d’urgence de KelpDAO a gelé en urgence, après environ 46 minutes, les composants clés du protocole, notamment le pool de liquidité LRT, le contrat de retrait, l’oracle et le jeton rsETH, interceptant avec succès deux tentatives de retrait totalisant 40 000 rsETH (environ 100 millions de dollars). Mais à ce moment, les 116 500 rsETH libérés ont été transférés vers huit adresses de sortie prédéfinies, puis injectés rapidement dans les marchés Aave V3 et V4.

Ce montant d’attaque fait de l’incident de KelpDAO le plus important en termes de volume dans la DeFi en 2026.

Chronologie de l’évolution de l’incident

• Montant perdu : 116 500 rsETH, environ 292 millions de dollars
• Marchés affectés d’Aave : Ethereum Core, Arbitrum, Mantle, Base, Linea, etc. (11 marchés)
• Fuite de la TVL d’Aave : environ 8,3 milliards de dollars en deux jours
• Évaporation totale de la TVL de la DeFi : environ 10 milliards de dollars

Analyse approfondie de la chaîne technique

Cette attaque ne repose pas sur une vulnérabilité classique de contrat intelligent, mais constitue une attaque composite combinant une « faille de configuration de pont » et une « attaque d’infrastructure nationale ». La chaîne d’attaque peut être décomposée en plusieurs étapes :

Étape 1 : Obtention de la liste des nœuds RPC. L’attaquant a obtenu la liste des nœuds RPC utilisés par le réseau de validateurs décentralisés LayerZero Labs (DVN).

Étape 2 : Toxification des nœuds RPC. L’attaquant a compromis deux nœuds RPC, en remplaçant leur binaire op-geth par une version malveillante. Ces nœuds malveillants fournissent de fausses données à l’IP du DVN, tout en apparaissant « honnêtes » aux autres observateurs.

Étape 3 : Attaque DDoS provoquant une bascule. L’attaquant lance une attaque DDoS sur les autres nœuds RPC non compromis, forçant le système DVN à transférer tout le trafic vers les nœuds toxifiés.

Étape 4 : Envoi de messages cross-chain falsifiés. L’attaquant soumet un message falsifié prétendant venir de KelpDAO Unichain. Le DVN, se fiant aux données des nœuds compromis, valide la légitimité du message. La majorité de 2/3 des signatures légales confirme le message falsifié.

Étape 5 : Libération de rsETH sur le réseau principal Ethereum. L’attaquant appelle les fonctions commitVerification() et lzReceive(), déclenchant la libération de 116 500 rsETH via l’adaptateur rsETH OFT sur Ethereum.

Étape 6 : Cash-out et fuite. L’attaquant distribue rsETH à 8 adresses prédéfinies, chaque adresse effectuant en environ 6 minutes la même opération : déposer rsETH en garantie sur Aave, emprunter du WETH, puis transférer les fonds.

La preuve vérifiable de cette attaque réside dans les données on-chain : le nonce outbound de Unichain reste à 307, alors que le nonce revendiqué 308 n’a jamais existé, et aucun événement PacketSent correspondant n’a été émis pour ce nonce. De plus, la quantité totale de rsETH sur Unichain n’est que de 49,26, ce qui rend impossible la destruction cross-chain de 116 500 rsETH.

Analyse de l’exposition au risque d’Aave

Selon le rapport de l’évaluateur de risque d’Aave, LlamaRisk, publié le 21 avril, l’attaquant a déposé 89 567 rsETH volés en garantie sur plusieurs marchés d’Aave V3, empruntant environ 82 650 WETH (environ 191 millions de dollars) et 821 wstETH. Étant donné que ces rsETH ont été forgés de toute pièce, sans support d’actifs sous-jacents réels, leur valeur en garantie dans le système Aave est essentiellement nulle, générant ainsi un défaut de paiement.

Aave fait face à deux scénarios de défaut, dont la résolution finale dépendra de la décision de répartition des pertes par KelpDAO :

Source : Rapport de l’incident LlamaRisk

Évaluation de la capacité de couverture des réserves

Au moment de la publication du rapport, l’état des pools de fonds d’Aave était le suivant :

• Trésor de l’Aave DAO : environ 181 millions de dollars d’actifs
• Réserve de sécurité Umbrella : entre 80 et 100 millions de dollars
• Module de sécurité OG : détient encore environ 300 millions de dollars d’AAVE, dont une réduction de 20 % pourrait fournir une capacité supplémentaire d’environ 60 millions de dollars pour couvrir les pertes

Projection du déficit de réserve :

Dans le pire scénario (créance irrécouvrable de 230,1 millions de dollars), même en utilisant la réserve Umbrella (environ 55 millions de dollars), le trésor de l’Aave (environ 85 millions de dollars) et la réduction des garanties OG (environ 60 millions de dollars), il resterait un déficit d’environ 76 millions de dollars, nécessitant un emprunt ou une vente de jetons AAVE pour combler.

Divergences d’opinions dans l’industrie

Cet incident a suscité des interprétations et des responsabilités très divergentes parmi les acteurs du secteur, principalement sur trois plans :

La querelle de responsabilité

LayerZero pointe du doigt la conception de KelpDAO, soulignant qu’il utilise une « configuration DVN 1/1 », c’est-à-dire qu’un seul validateur peut approuver un message cross-chain, alors que la meilleure pratique est d’utiliser une configuration multi-DVN. LayerZero indique avoir conseillé à plusieurs reprises à KelpDAO de migrer vers une configuration multi-DVN, sans succès, et annonce qu’à l’avenir, elle ne signera plus aucun message provenant d’applications utilisant une configuration DVN 1/1.

KelpDAO affirme fonctionner sur LayerZero depuis janvier 2024, avec une communication ouverte avec l’équipe LayerZero. KelpDAO indique que la question de la configuration DVN a été discutée lors de l’expansion vers la couche 2, et que la configuration par défaut a été explicitement jugée appropriée, laissant entendre que la responsabilité incombe aussi à la documentation et aux directives de LayerZero.

Observateurs du secteur soulignent que l’attaquant a montré une capacité à « relier la faiblesse de l’infrastructure, des applications et des relations de confiance », ce qui n’est pas une attaque opportuniste ponctuelle, mais une pénétration sophistiquée ciblant un système complexe.

Évaluation des mesures d’Aave

Partisans saluent la réaction rapide d’Aave — gel de tous les 11 marchés rsETH/wrsETH, mise à zéro du LTV, réduction des taux WETH cross-chain, gel du prêt. Stani, fondateur d’Aave, a déclaré lors d’un AMA communautaire que les contrats principaux n’avaient pas été compromis, et que le flux de revenus mensuel d’environ 12 millions de dollars était suffisant pour couvrir les pertes potentielles.

Critiques s’interrogent sur le fait que, si le déficit doit être comblé par la mise en jeu de jetons AAVE dans le module de sécurité, cela revient à transférer le coût de la faille de KelpDAO aux stakers d’Aave. De plus, la mécanique Umbrella, lancée il y a moins de deux mois, subit déjà une pression extrême, et son efficacité n’a pas encore été prouvée.

La réflexion sur l’avenir de la DeFi

Le fondateur de DefiLlama, 0xngmi, indique que même les protocoles non directement touchés ont été affectés par la panique — la sortie nette d’Aave s’élève à 6,2 milliards de dollars (−23 %), et la TVL totale de la DeFi a évaporé près de 10 milliards de dollars, en affirmant que « dans ce genre d’incidents, il n’y a pas de gagnants, seulement une réduction du ‘gâteau’ de l’industrie ».

D’autres estiment que, malgré la nervosité accrue suite à la « liste noire 2026 », l’économie on-chain continue de croître — la capitalisation combinée de USDT et USDC dépasse 263 milliards de dollars, et la dette américaine tokenisée dépasse 109 milliards de dollars, ce qui montre que le capital se déplace vers des produits plus simples, avec une transparence accrue des garanties.

Impact structurel sur le secteur

Sur le paradigme de sécurité de la DeFi

L’incident KelpDAO met en lumière une faille structurelle dans la sécurité de la DeFi : si les audits de sécurité se concentrent principalement sur le code des contrats intelligents, un attaquant peut contourner cette couche en attaquant directement l’infrastructure sous-jacente. Dans ce cas, l’attaquant n’a pas exploité de vulnérabilité dans le code, mais a compromis l’infrastructure en toxifiant les RPC et en lançant une attaque DDoS, détruisant la confiance dans la vérification cross-chain. Cela indique que la menace pour la DeFi s’étend désormais de la « correction du code » à la « fiabilité de la vérification » et à l’intégrité de l’infrastructure.

Les chercheurs en sécurité soulignent que cette attaque, associée au vol de 285 millions de dollars du protocole Drift début avril (abus de permissions et défauts de pré-signature), montre une tendance : la gouvernance, la signature, le pont, l’oracle et la configuration des paramètres sont aussi importants, voire plus, que le code des contrats.

Sur l’impact sur le marché des tokens de staking de liquidité

rsETH, en tant que l’un des plus grands tokens de liquidité de staking de l’écosystème EigenLayer, voit sa confiance ébranlée, ce qui pourrait se propager à l’ensemble de cette catégorie. Avant l’incident, la valeur totale verrouillée de rsETH dépassait 1,5 milliard de dollars. Après l’attaque, le marché rsETH a été gelé. Plus important encore, cet incident confirme la problématique centrale du risque des tokens de staking cross-chain : si ces tokens dépendent d’un pont cross-chain pour leur circulation sur plusieurs chaînes, toute faille dans le pont peut entraîner des pertes pour tous les détenteurs.

Sur la crédibilité à long terme d’Aave

Même si les contrats principaux d’Aave n’ont pas été compromis, la vérification de la « véracité des garanties » restera une préoccupation majeure pour la gouvernance. Certains estiment qu’il est urgent d’établir un mécanisme de vérification en temps réel des garanties, par exemple en exigeant que les actifs cross-chain comme rsETH fournissent une preuve Merkle de leur sous-jacent, afin que les oracles vérifient non seulement le prix, mais aussi la « véracité de l’actif ». La question de l’intégration de mécanismes de vérification plus stricts dans la version V4 d’Aave sera un point d’attention dans l’avenir.

Accélération de la migration des capitaux

Les flux de capitaux suite à cet incident ne sont pas uniformes. Les données montrent que, parallèlement à la baisse de la TVL globale des protocoles DeFi, la capitalisation des stablecoins et des dettes américaines tokenisées continue de croître — USDT atteint 185 milliards de dollars, USDC 78 milliards, et la dette américaine tokenisée dépasse 10,9 milliards. Cette divergence indique que le capital quitte les produits DeFi natifs à haute complexité pour se tourner vers des produits plus simples, avec une transparence accrue des garanties. Le document stratégique de Visa sur les stablecoins pour 2026 indique que l’offre de stablecoins a augmenté de plus de 50 % en 2025, et que 2026 sera une année pivot pour l’engagement institutionnel.

Conclusion

L’incident KelpDAO révèle une faille structurelle longtemps ignorée dans la DeFi : la sécurité du code ne garantit pas la sécurité du système. Lorsqu’un attaquant peut, sans toucher à aucun code de contrat, compromettre la confiance dans l’infrastructure pour dérober 292 millions de dollars, cela oblige le secteur à repenser ses paradigmes de sécurité. La couverture des défauts de paiement dépendra de la coopération entre plusieurs parties et des décisions de répartition des pertes de KelpDAO. Plus important encore, cet incident pourrait devenir un catalyseur pour faire évoluer les standards de sécurité de la DeFi — la redondance de la vérification cross-chain, la preuve de véracité des garanties, et l’isolation des risques entre protocoles ne seront plus des options, mais des exigences fondamentales. Comme l’a dit le fondateur de DefiLlama, il n’y a pas de gagnants dans ce genre d’événements, mais cela peut rendre l’industrie plus résiliente face à la douleur.