Bankless : l'attaque rsETH secoue l'industrie DeFi

Auteur : Jack Inabinet, analyste senior chez Bankless ; Traduction : @金色财经xz

Alors que l’industrie des cryptomonnaies doit faire face aux dernières vulnérabilités de sécurité DeFi, tout le secteur doit affronter une question vitale : Les applications DeFi sont-elles vraiment sûres ?

Le week-end dernier, le principal marché de prêt de cryptomonnaies a été victime de la plus grande attaque de vulnérabilité DeFi de l’année. Un attaquant habile a réussi à compromettre le pont inter-chaînes basé sur LayerZero de Kelp DAO, et à forger illégalement 116 500 rsETH.

Ces tokens nouvellement créés (sans support d’actifs réels) d’une valeur d’environ 290 millions de dollars ont ensuite été déposés dans des protocoles de prêt majeurs comme Aave, puis utilisés comme garanties pour emprunter des milliards de dollars en ETH, ce qui a finalement conduit à des créances douteuses et à une crise de liquidité dans tout le secteur.

I. Origine de l’incident

L’attaque s’est déroulée en deux phases rapidement successives : l’attaquant a d’abord exploité la vulnérabilité du pont inter-chaînes de Kelp DAO basé sur LayerZero, puis a utilisé le rsETH sans support d’actifs pour retirer des centaines de millions de dollars de fonds d’Aave.

Première phase : La défense LayerZero craque

Le pont inter-chaînes rsETH de Kelp DAO dépend de l’infrastructure de transmission de messages de LayerZero.

Le problème clé réside dans le fait que : Kelp DAO a intégré cette infrastructure avec la configuration de sécurité la plus faible — c’est-à-dire un réseau de validation décentralisé 1/1 (DVN). Cela permet à un seul nœud de validation exploité par LayerZero Labs d’obtenir l’autorisation de transmettre des messages inter-chaînes.

Bien que LayerZero ait déclaré dans ses analyses post-incident avoir averti contre l’utilisation de configurations de sécurité minimales et recommandé aux ponts de grande valeur d’adopter une solution à plusieurs validateurs, son protocole autorise toujours une déploiement en mode 1/1.

Plus inquiétant encore, environ 47 % des protocoles sur LayerZero utilisent cette même configuration.

L’attaquant a exploité cette faille unique pour falsifier un message légitime, incitant le pont inter-chaînes exploité par LayerZero à forger une transaction qui a permis à l’attaquant de créer directement 116 500 rsETH sans support d’actifs réels.

Bien que le contrat multisignature de Kelp DAO ait immédiatement gelé le contrat principal, il était trop tard pour inverser les dégâts qui allaient suivre…

Deuxième phase : Extraction de liquidités via Aave

Avec les tokens volés, l’attaquant a rapidement déposé une grande quantité de rsETH dans Aave V3 (ainsi que de petites quantités sur SparkLend, Fluid et d’autres plateformes).

Grâce à cette position de garantie fictive, l’attaquant a pu utiliser des tokens sans valeur réelle comme collatéral pour emprunter d’énormes montants en WETH, ce qui a entraîné, dans les transactions concernées, une créance douteuse estimée à plus de 262 millions de dollars pour Aave.

Face à ce risque, les prêteurs DeFi avisés n’ont pas attendu que la créance douteuse s’accumule, mais ont paniqué et retiré collectivement leurs fonds durant le week-end. Après l’incident, les principaux protocoles ont perdu plus de 7 milliards de dollars d’actifs, dont 6,2 milliards pour Aave, représentant environ 23 % de la valeur totale verrouillée (TVL) du marché de prêt.

La panique a été telle que plusieurs marchés ETH, USDC et USDT sur Aave V3 ont vu leur taux de collatéralisation grimper à 100 %, rendant la liquidité pratiquement inaccessible et empêchant les utilisateurs de retirer davantage d’actifs.

**II. **Situation actuelle

Avec des dizaines de milliards de dollars d’actifs désormais gelés dans le marché du prêt crypto, les risques s’accumulent et s’intensifient.

Les déposants ne peuvent plus gérer activement leurs positions car leurs garanties ont été empruntées, tandis que les taux d’intérêt, influencés par le taux d’utilisation des fonds, montent en flèche, augmentant la pression sur les emprunteurs. La pénurie de liquidités et la panique généralisée alimentent les inquiétudes quant à une accumulation accrue de créances douteuses et à une propagation plus large des risques dans la DeFi.

Pour limiter les pertes, la gouvernance d’Aave a désactivé en totalité les marchés rsETH dans les versions V3 et V4. Cependant, cette mesure intervient en réponse à la crise, et avant de pouvoir se remettre de cette vulnérabilité grave, le protocole doit encore gérer plusieurs centaines de millions de dollars de créances non remboursées.

**III. **Quelles perspectives pour la suite ?

Le module de staking d’Aave V3 détient actuellement 201 millions de dollars en stablecoins et 56 millions de dollars en WETH, ces fonds pouvant être utilisés pour couvrir les pertes, notamment en absorbant le déficit causé par le bug rsETH. De plus, le protocole dispose d’un module de sécurité contenant 266 millions de dollars en tokens AAVE, qui pourraient être vendus pour combler le reste du déficit.

Bien que ces réserves semblent suffisantes pour que Aave puisse absorber la perte sans devenir insolvable, l’incident rsETH a ravivé les inquiétudes quant à la résilience du marché de prêt décentralisé.

Une telle secousse pourrait dissuader les utilisateurs de prêter leurs fonds — sans parler de prendre des risques via le staking ou les modules de sécurité — ce qui pourrait ébranler la confiance dans la stratégie de liquidité unifiée sur laquelle repose Aave V3.

Le système économique cryptographique devrait être construit sur la résilience et la confiance minimale. Cependant, dans la course à une expérience utilisateur plus fluide ou à des fonctionnalités plus impressionnantes, certains équipes ont pris des raccourcis, introduisant des points de défaillance vulnérables. La chute du pont LayerZero basé sur un seul nœud de validation dans Kelp DAO en est une preuve éclatante.

De tels incidents mettent en lumière les risques liés à la conception bâclée de systèmes centralisés ou semi-centralisés, et révèlent le prix élevé que peut coûter une conception précipitée.

Si le secteur crypto veut tenir ses promesses, ses créateurs doivent abandonner ces architectures fragiles, et revenir à une priorité absolue : la sécurité, plutôt que de s’appuyer sur des systèmes de multisignatures ou de signatures uniques vulnérables.