KelpDAO secoué par une attaque : comment Aave a bloqué 80 % des 200 millions de dollars de créances douteuses

Le 18 avril 2026 à 17h35 UTC, l’attaquant a exploité le pont inter-chaînes rsETH basé sur LayerZero de KelpDAO, volant environ 116 500 rsETH en environ 46 minutes, d’une valeur d’environ 292 millions de dollars. La faille fatale de l’attaque réside dans le fait que le hacker n’a pas simplement vendu ces actifs airdropés sur le marché secondaire — la liquidité de rsETH étant insuffisante pour supporter de grosses ventes — mais les a utilisés comme collatéral dans Aave V3, Compound V3 et Euler, empruntant environ 236 millions de dollars en WETH/ETH réels.

La cause profonde de cette attaque n’est pas une vulnérabilité dans le code des contrats intelligents traditionnels, mais une erreur de configuration au niveau des paramètres de déploiement. KelpDAO a utilisé une configuration DVN (réseau de validation décentralisé) 1/1 dans le cadre de la solution inter-chaînes LayerZero V2 — nécessitant la confirmation d’un seul nœud de validation pour autoriser un message cross-chain. Si ce nœud DVN est compromis, l’attaquant peut falsifier n’importe quel message inter-chaînes, réalisant une “création monétaire à partir de rien”. Plus alarmant encore, selon Dune Analytics, 47 % des applications décentralisées LayerZero utilisaient encore cette configuration 1/1 DVN, impliquant plus de 4,5 milliards de dollars d’actifs. Cela signifie que l’incident de KelpDAO ne révèle pas seulement un problème isolé d’un projet, mais une faille structurelle affectant l’ensemble de l’infrastructure cross-chain.

Comment la chaîne de transmission du prêt et de la mauvaise créance fonctionne-t-elle ?

Après avoir déposé les rsETH falsifiés dans plusieurs protocoles de prêt, Aave V3 a supporté la plus grande exposition. Les données on-chain montrent qu’environ 89 567 rsETH (environ 221 millions de dollars) ont été déposés comme collatéral dans Aave, avec un emprunt d’environ 82 650 WETH (environ 191 millions de dollars). Étant donné que le rsETH impliqué dans l’attaque a été créé de manière arbitraire à la source, ces actifs fictifs, une fois utilisés comme garantie, rendent toute la transaction non légitime pour la liquidation.

Cependant, strictement parlant, le code d’Aave lui-même n’a pas été compromis. La logique de prêt reste opérationnelle, mais la valeur sous-jacente de ces collatéraux — ces rsETH — s’est effondrée après le vol via le pont inter-chaînes. Aave a immédiatement gelé tous les marchés liés à rsETH, mis le ratio de prêt (LTV) à zéro, et ajusté en urgence le modèle de taux d’intérêt. Mais la mauvaise créance était déjà une réalité. Selon le rapport d’incident publié par le fournisseur de services Aave et l’organisme de gestion des risques LlamaRisk, en fonction de différentes stratégies de partage des pertes, la perte nette potentielle d’Aave se situe entre 124 millions et 230 millions de dollars. La perte de 200 millions de dollars souvent citée correspond à la perte nette centrale causée par l’incident.

Pourquoi la vulnérabilité de validation unique constitue-t-elle une zone aveugle structurelle en sécurité ?

Ce qui distingue l’incident KelpDAO des autres vulnérabilités de sécurité DeFi, c’est qu’il n’y a pas de vulnérabilité dans le code source auditée. La faille ne réside pas dans le fichier .sol, mais dans un paramètre de configuration lors du déploiement — le seuil DVN. Ce paramètre n’est pas détecté par des outils d’analyse statique comme Slither ou Mythril, qui peuvent repérer des vulnérabilités connues dans le code (comme les attaques par réentrée), mais leur couverture sur les risques liés à la configuration est quasi nulle. Lorsque l’attention portée à l’audit du “contrat intelligent” se concentre uniquement sur la correction du code, la configuration DVN devient une zone aveugle critique.

La philosophie de LayerZero V2 consiste à déléguer la prise de décision de sécurité à la couche applicative, ce qui, en théorie, respecte la flexibilité. En pratique, cependant, les projets ont choisi le mode extrême 1/1 dans ce spectre de liberté. Dès que le mécanisme de sécurité peut être “désactivé” par une simple configuration, la limite de l’audit doit être repoussée. L’incident KelpDAO révèle une contradiction fondamentale : si le protocole cross-chain offre une capacité de validation multiple, les projets, pour plus de commodité, abandonnent souvent cette redondance ; mais l’industrie manque encore d’un processus standardisé d’audit de sécurité de configuration pour combler cette faille.

Comment la panique du marché et la crise de liquidité se renforcent-elles mutuellement ?

Après la diffusion de l’information, la panique s’est rapidement traduite en fuite de capitaux. Au 27 avril 2026, selon les données de Gate.io, les prix des tokens liés ont connu une volatilité significative, et le secteur DeFi a subi une pression accrue. En 48 heures après l’incident, Aave a enregistré une sortie nette de dépôts d’environ 8,45 milliards de dollars, le TVL passant d’environ 264 milliards à 179 milliards de dollars. La valeur totale verrouillée (TVL) de tout l’écosystème DeFi a chuté d’environ 132,1 milliards de dollars, passant de 995 milliards à 863 milliards de dollars.

Il est important de noter que la baisse du TVL ne signifie pas une perte d’actifs équivalente. Certains analystes soulignent qu’une proportion importante de ces sorties provient de liquidations en chaîne de positions à effet de levier élevé et de retraits par des fonds institutionnels cherchant à réduire leur risque, plutôt que de la destruction d’actifs. Cependant, cette secousse met en lumière un problème profond : lorsqu’un pool clé d’un protocole de prêt de premier plan est vidé, avec un taux d’utilisation proche de 100 %, de nombreux utilisateurs ordinaires ne peuvent plus retirer leurs fonds normalement. Cette fois, Aave n’est pas la source du risque, mais, en raison de la forte proportion de rsETH dans ses collatéraux, il a été entraîné dans la tourmente.

Détails techniques sur la traçabilité des fonds et l’action de gel d’Arbitrum

Après avoir volé des fonds via la faille KelpDAO, l’attaquant a rapidement effectué des opérations de dissimulation. Les fonds initiaux provenaient de Tornado Cash, et environ 10 heures avant l’incident, l’attaquant a reçu 1 ETH via un protocole de mixage. Après le vol, il a déplacé les fonds entre plusieurs protocoles de prêt, puis vers des ponts inter-chaînes.

Le 20 avril, le comité de sécurité d’Arbitrum a utilisé ses pouvoirs d’urgence pour identifier environ 30 765 ETH (environ 71,5 millions de dollars à l’époque) détenus par l’attaquant, et a exécuté une opération technique pour les transférer vers une adresse sécurisée, gelant ainsi ces fonds. Cela marque une étape importante dans le suivi on-chain : cela montre que le comité de sécurité d’un réseau Layer 2 peut intervenir pour geler des fonds sous certaines conditions. Cependant, la réponse de l’attaquant a été rapide — en quelques heures, environ 75 700 ETH (environ 175 millions de dollars) ont été dispersés vers deux nouveaux portefeuilles. Des investigations ont également révélé que près de 1,5 million de dollars ont été transférés via Thorchain de l’Ethereum vers le réseau Bitcoin, et d’autres fonds ont été dissimulés via des outils de confidentialité comme Umbra. Cela indique que l’attaquant tente de transférer ses fonds hors de l’écosystème Ethereum, rendant leur traçabilité plus difficile.

La voie de la récupération communautaire et la compensation du bad debt de 200 millions de dollars

Face à un déficit de mauvaise créance d’environ 200 millions de dollars, le fondateur d’Aave a lancé un fonds de récupération industriel nommé DeFi United. Au 26 avril, selon Arkham, plus de 160 millions de dollars ont été levés, couvrant environ 80 % du déficit. Les principaux contributeurs sont la communauté Mantle et la communauté Aave, qui ont conjointement donné 55 000 ETH, équivalent à environ 127 millions de dollars au prix du marché à l’époque.

Stani Kulechov, fondateur d’Aave, a personnellement donné 5 000 ETH ; des institutions comme Golem Foundation, Ether.fi, Lido DAO ont également promis des injections de fonds. Plus important encore, Aave Labs, en collaboration avec KelpDAO, LayerZero, Ether.fi, Compound et quatre autres protocoles, a soumis une proposition de niveau constitutionnel à l’Arbitrum DAO pour débloquer les 30 765 ETH (environ 71,5 millions de dollars) gelés par le comité de sécurité d’Arbitrum, et les injecter dans le fonds de récupération DeFi United. Si toutes ces mesures aboutissent, la taille totale de DeFi United pourrait dépasser 236 millions de dollars, couvrant entièrement le déficit actuel.

Il faut noter que ce processus de gouvernance prendra environ 49 jours, et plusieurs engagements de financement importants nécessitent encore l’approbation par vote des DAO respectifs, donc rien n’est encore définitivement réglé.

La paradoxe de la sécurité inter-chaînes et la gouvernance dans la finance décentralisée

L’incident KelpDAO a suscité une réflexion plus profonde dans l’industrie : la sécurité des ponts inter-chaînes reste un problème structurel difficile à résoudre. Avant l’incident, 47 % des applications décentralisées utilisant LayerZero employaient la configuration 1/1 DVN, ce qui n’est pas une décision isolée de KelpDAO, mais une tendance systémique dans l’écosystème, privilégiant la commodité au détriment de la sécurité redondante. Dans le contexte inter-chaînes, la confiance ne repose plus uniquement sur le code des contrats, mais aussi sur la configuration et la sécurité opérationnelle des nœuds de validation. Ces aspects dépassent souvent le champ de l’audit classique.

Par ailleurs, l’action du comité de sécurité d’Arbitrum pour geler des fonds met en évidence un paradoxe de longue date : si un réseau Layer 2 prétend être “décentralisé”, mais possède la capacité d’intervenir dans la gestion des fonds via des “portes dérobées” dans le code, alors en quoi diffère-t-il fondamentalement d’un acteur centralisé de garde d’actifs ? Si les fonds des utilisateurs peuvent être bloqués par une autorité de sécurité, la narration d’une finance décentralisée “sans confiance” commence à se fissurer.

Cet incident n’est plus une simple crise de sécurité d’un projet, mais un test de résistance pour l’ensemble des fondements du secteur DeFi.

En résumé

L’incident de KelpDAO est la plus grande crise de sécurité DeFi à ce jour en 2026, avec une perte d’environ 292 millions de dollars, mais ses répercussions dépassent largement ce chiffre : en 48 heures, Aave a vu sortir 8,45 milliards de dollars de dépôts, et la TVL de tout l’écosystème DeFi a chuté de plus de 130 milliards de dollars. La cause profonde n’est pas une vulnérabilité dans le code des contrats, mais une erreur de configuration dans le paramètre de validation unique du pont inter-chaînes — une faille encore présente dans de nombreux protocoles du secteur.

Grâce à la création du fonds de récupération DeFi United, plus de 160 millions de dollars ont été levés, couvrant environ 80 % du bad debt, et une proposition de dégel des fonds gelés a été soumise à l’Arbitrum DAO. Au 27 avril 2026, le fonds attend encore la validation par gouvernance. Quoi qu’il en soit, cet incident marque un tournant dans la transition de la DeFi, passant de “la loi dans le code” à “la gouvernance comme garantie”.

FAQ

Q : Quelle est la vulnérabilité fondamentale de l’attaque KelpDAO ?

La vulnérabilité principale n’est pas une erreur dans le code des contrats, mais un problème de configuration du DVN dans la solution LayerZero. KelpDAO a utilisé une configuration 1/1 avec un seul nœud de validation, ce qui permet à un attaquant de falsifier des messages cross-chain en compromettant ce seul nœud, créant ainsi du rsETH de toute pièce. C’est une défaillance du modèle de confiance inter-chaînes combinée à une erreur de configuration.

Q : Combien Aave a-t-il réellement perdu dans l’incident ?

Aave n’a pas été directement attaqué, mais comme rsETH a été utilisé comme collatéral, l’attaquant a emprunté beaucoup de WETH. Selon différentes estimations, la perte nette d’Aave varie entre 124 millions et 230 millions de dollars, avec une référence courante autour de 200 millions. Au 27 avril, plus de 160 millions de dollars ont été levés pour couvrir environ 80 % du déficit.

Q : Peut-on encore récupérer les fonds volés ?

Une partie des fonds a été gelée. Le comité de sécurité d’Arbitrum a réussi à geler environ 30 765 ETH (environ 71,5 millions de dollars), mais l’attaquant a transféré environ 75 700 ETH (environ 175 millions de dollars) vers de nouveaux portefeuilles, et certains fonds ont été cross-chainés vers le réseau Bitcoin via Thorchain, compliquant leur récupération.

Q : Les autres protocoles utilisant LayerZero sont-ils sécurisés ?

Pas nécessairement. Selon Dune Analytics, avant l’incident, 47 % des applications décentralisées LayerZero utilisaient la configuration 1/1 DVN, impliquant plus de 4,5 milliards de dollars d’actifs. Chaque protocole doit auditer sa propre configuration DVN, et l’industrie pousse vers une migration vers des configurations à plusieurs validateurs pour renforcer la sécurité.