En avril 2026, le domaine de la DeFi a connu la crise de confiance la plus grave des dernières années. Selon des organismes comme CertiK, les pertes de sécurité causées par des attaques de hackers, des exploitations de vulnérabilités, etc., s'élèvent à environ 635 millions à 651 millions de dollars ce mois-là, soit une croissance explosive de plus de dix fois par rapport aux 59,5 millions de dollars de mars, établissant le record de pertes mensuelles depuis mars 2022. Plus alarmant encore, 31 incidents d'attaque distincts ont eu lieu ce mois-là, presque un par jour en moyenne, avec des montants de pertes et une fréquence d'attaques qui ont tous deux battu des records historiques dans la DeFi.

Les deux grands cas au centre de cette tempête — KelpDAO et Drift Protocol — ont totalisé plus de 90 % des actifs volés ce mois-là. KelpDAO a été exploité via une vulnérabilité dans le seul vérificateur du pont cross-chain, permettant à l'attaquant de contourner le mécanisme de sécurité, de forger de toutes pièces des jetons rsETH d'une valeur de 292 millions de dollars, puis d'utiliser ces jetons comme garantie pour emprunter de véritables Ethereum sur des plateformes de prêt comme Aave. Cette opération a non seulement mis Aave en danger avec près de 200 millions de dollars de créances douteuses potentielles, mais a également provoqué le retrait de plus de 8 milliards de dollars de fonds en 24 heures, avec une chute de près de 32 % de la TVL. L'incident suivant, celui de Drift Protocol, est tout aussi alarmant : après six mois d'infiltration d'informations, l'attaquant a finalement volé la clé d'administrateur, transférant environ 285 millions de dollars d'actifs. Ces deux cas sont tous deux attribués au groupe Lazarus, basé en Corée du Nord, dont le comportement sur la chaîne est très cohérent dans cette série d'attaques.
Cette crise de sécurité n'est pas un hasard, mais le résultat d'une explosion concentrée du mode de développement de la DeFi basé sur l'« efficacité prioritaire » sur le long terme. Elle a fondamentalement révélé trois niveaux de risques systémiques : premièrement, le mécanisme de vérification des ponts cross-chain présente des défauts fatals, la structure à vérificateur unique mettant des centaines de millions de dollars en jeu sur une seule clé privée, alors que l'incident du pont Ronin en 2022 avait déjà mis en garde contre ce type de risque, mais a été collectivement ignoré par l'industrie. Deuxièmement, l'ingénierie sociale et les attaques prolongées deviennent de nouvelles menaces majeures, les méthodes d'attaque évoluant du simple exploit de vulnérabilités de code à une infiltration combinée des droits du personnel et des failles de processus. Troisièmement, la composabilité de la DeFi, tout en amplifiant les gains, relie également les risques — une faille dans un protocole peut rapidement se propager le long de la chaîne de collatéralisation pour entraîner une réaction en chaîne de plusieurs protocoles.
Les réactions en chaîne sur le marché sont également violentes. Tout le secteur de la DeFi a vu une sortie d'environ 13 milliards de dollars de TVL à court terme, avec une baisse de 38 % des dépôts sur Aave et une chute de 15 à 21 % du jeton AAVE. Les fonds se déplacent clairement des protocoles à haut risque vers des plateformes de prêt plus matures ou des solutions de garde centralisées. L’impact plus profond concerne la confiance des institutions : JPMorgan a clairement indiqué que les défauts de sécurité persistants et la stagnation de la croissance de la TVL freinent gravement l’attractivité de la DeFi pour les acteurs institutionnels. Par ailleurs, la Standard Chartered Bank, tout en restant optimiste quant aux perspectives à long terme du marché RWA, admet qu’une mise à niveau structurelle des risques cross-chain est nécessaire. #DeFi4月安全事件损失超6亿美元