Le commerce de prêt sur gages DeFi a failli être mis à mal par un reçu

Écrire : Clow

Le 18 avril, la DeFi a été plongée dans l’eau.

Ce n’est pas une plateforme d’échange qui a été piratée, ni un contrat qui a été directement vidé. L’attaquant a obtenu un lot de jetons de garantie d’une valeur d’environ 290 millions de dollars, qu’il a envoyés dans Aave, ce protocole de prêt en chaîne, pour emprunter des ETH plus facilement monétisables comme WETH, wstETH.

Ce lot de jetons s’appelle rsETH, comme un « reçu d’ETH » : l’utilisateur dépose de l’ETH ou des actifs liés dans KelpDAO, reçoit un jeton, et pourra plus tard échanger ce jeton contre l’actif sous-jacent. Aave fonctionne comme une prête sur la chaîne, où l’utilisateur dépose des actifs en garantie, puis emprunte des ETH, des stablecoins ou d’autres actifs.

Le problème, c’est que la « preuve » derrière ce dépôt a été compromise.

C’est comme si quelqu’un utilisait un bon de dépôt expiré pour obtenir un prêt à la banque. La réserve n’a plus assez de stock, mais le système bancaire ne s’en est pas encore rendu compte, et continue à prêter au prix initial.

Le plus gênant, c’est que le guichet de la banque n’est pas cassé, le processus de prêt n’est pas défectueux. Ce qui est réellement détraqué, c’est la relation entre ce bon et la réserve. Ce que Aave a rencontré cette fois, c’est un problème similaire.

Si c’était seulement KelpDAO qui perdait des fonds, ce serait une faille de sécurité d’un protocole. Mais quand des garanties défectueuses entrent dans Aave, cela devient une simulation de crise de confiance dans le système DeFi.

Qui en souffre le plus ? Pas KelpDAO, mais ceux qui sont bloqués.

Le rapport d’incident indique que l’attaque a eu lieu le 18 avril 2026 à 17h35 UTC. L’attaquant a trompé le canal rsETH de KelpDAO, qui relie Unichain à Ethereum, et a libéré 116 500 rsETH.

Parmi eux, 89 600 rsETH ont été déposés dans Aave, qui a emprunté 82 700 WETH et 821 wstETH, pour un total d’environ 193 millions de dollars.

Aave n’a pas été piraté. Ses contrats ne sont pas défectueux, et le système de prix n’a pas été directement attaqué. Le problème, c’est que l’attaquant a utilisé un lot de rsETH « apparemment encore valable » comme garantie, pour emprunter de vrais actifs de valeur dans la piscine Aave. WETH représente le solde d’ETH disponible dans la piscine. Une fois emprunté à sec, le solde des dépôts reste inchangé, mais le WETH disponible à retirer a disparu.

Les réserves de WETH dans plusieurs marchés ont brièvement atteint 100 % d’utilisation, avec un solde inutilisé proche de zéro. Ce qui se traduit pour l’utilisateur par :

Vous avez de l’argent, mais vous ne pouvez pas le retirer pour l’instant.

C’est comme si une plateforme d’échange suspendait les retraits, mais en version blockchain. La page ne vous dira pas « l’argent a disparu », elle indiquera simplement « aucune liquidité disponible ». Les déposants voient leur solde, mais ce qui manque réellement, c’est la sortie.

Aave a ensuite gelé rsETH, wrsETH et plusieurs marchés WETH. Ce n’est pas que les utilisateurs aient fait quelque chose de mal, mais le système doit d’abord couper l’accès.

C’est aussi ce qui rend cette affaire difficile à comprendre au premier abord. Aave n’a pas été directement piraté, mais ses garanties sont soudainement devenues « sales ». Les déposants pensaient simplement déposer de l’ETH dans une piscine de prêt, mais de l’autre côté, quelqu’un a utilisé de mauvaises preuves pour emprunter de bons actifs.

Ce n’est pas un coffre-fort qui a été forcé, c’est le gardien qui s’est fait avoir.

La passerelle cross-chain KelpDAO utilise LayerZero. La bridge cross-chain fonctionne comme un système de transfert entre deux entrepôts : d’un côté, Ethereum verrouille un lot de rsETH, et de l’autre, une preuve correspondante est émise sur la chaîne. Lors du retour, le système vérifie que la preuve a été détruite de l’autre côté, puis libère le rsETH dans l’entrepôt Ethereum.

Plus il y a de vérificateurs, plus c’est sécurisé. Mais KelpDAO était alors en mode 1-of-1 DVN, avec un seul vérificateur responsable de la validation. Un seul signe, une seule autorisation.

Les nœuds RPC sont comme des « guichets de vérification ». Selon LayerZero, l’attaquant a compromis deux nœuds RPC, puis a lancé une attaque DDoS contre d’autres RPC externes non compromis, forçant le réseau de validation à lire des données corrompues. Résultat : les validateurs ont vu un message inexistant : il semblait qu’une quantité suffisante de rsETH avait été détruite sur l’autre chaîne, permettant de débloquer des fonds sur Ethereum.

Le contrat sur Ethereum a cru à cette fausse information, et a libéré 116 500 rsETH.

Chaque étape sur la chaîne ressemble à une transaction normale. Signature, message, processus, tout est conforme. Mais le problème, c’est que l’événement sous-jacent ne s’est jamais produit. Le code a été exécuté selon l’entrée, mais cette entrée a été falsifiée.

C’est plus complexe qu’une simple faille de contrat. Une vulnérabilité dans un contrat, c’est comme pointer une erreur dans une ligne de code ; ici, c’est comme si l’écran de surveillance avait été falsifié, et que la sécurité ouvrait la porte selon un processus normal. La porte s’est ouverte en toute conformité, mais la personne dehors n’aurait jamais dû entrer.

Ce qui rend cette affaire si effrayante, ce n’est pas qu’un développeur ait écrit une erreur, mais que toute l’infrastructure de confiance, souvent considérée comme fiable, peut mentir. Ponts, nœuds, réseaux de validation, tout cela fonctionne en arrière-plan, mais en cas de problème, cela peut réécrire la vie ou la mort d’un actif.

Pourquoi Aave a-t-il été entraîné dans cette histoire avec de mauvaises garanties ?

Les protocoles de prêt craignent surtout pas la volatilité des prix. La volatilité peut être liquidée. Le vrai problème, c’est que la garantie, qui semble encore valoir quelque chose, s’est en fait effondrée.

rsETH est à la base un « reçu d’ETH », une couche supplémentaire par rapport à l’ETH classique. Lorsqu’il passe à des réseaux de couche 2 comme L2, il y a un risque supplémentaire lié à la bridge. Lorsqu’il entre dans Aave, ce qui est censé être une optimisation de capital devient une boîte à surprises.

Si l’ETH baisse simplement, Aave peut procéder à une liquidation selon les règles. Mais le problème de rsETH, ce n’est pas une simple baisse de prix, c’est la question : « Est-ce que je peux encore échanger ce reçu contre de l’ETH ? » Si cette question reste sans réponse, la liquidation devient gênante, car le marché pourrait ne pas vouloir reprendre la garantie défectueuse.

Le rapport d’incident d’Aave présente deux scénarios de créances douteuses : si la perte est supportée par tous les détenteurs de rsETH, la mauvaise créance pourrait atteindre environ 1,237 milliard de dollars ; si elle est confinée à la couche 2, la perte estimée serait d’environ 2,301 milliards de dollars, avec une pression principale sur Mantle et Arbitrum.

Ces deux chiffres sont très différents, mais ils racontent la même chose : Aave n’a pas perdu à cause d’un bug dans la logique du contrat, mais parce qu’il a surévalué la fiabilité de cette « preuve d’ETH ». L’attaquant le sait aussi, et n’a pas vendu immédiatement ses rsETH, mais a plutôt injecté de mauvaises garanties dans le marché de prêt, empruntant de bons actifs.

Autrefois, on vantait la composabilité : un actif dans un protocole pouvait s’intégrer sans couture dans un autre. Mais cette fois, on voit le revers de la médaille. Une faille dans un protocole peut aussi s’infiltrer dans un autre.

Le rapport d’Aave indique qu’au 20 avril, le trésor de l’Aave DAO détenait environ 181 millions de dollars d’actifs. Le 24 avril, une proposition de gouvernance a dévoilé un plan de sauvetage : la coalition de secours DeFi United, qui doit coordonner plusieurs fonds pour combler le déficit de garantie rsETH.

Ce plan inclut 40 400 rsETH gelés par KelpDAO, 30 800 ETH gelés par le Conseil de sécurité d’Arbitrum, un plafond de crédit de 30 000 ETH pour Mantle, et 25 000 ETH que l’Aave DAO doit fournir.

Circle a aussi été impliqué. En tant qu’émetteur de la stablecoin USDC, il commence à s’inquiéter pour le marché du prêt. Ce n’est pas de la charité, c’est une protection de la chaîne de valeur.

Cela explique aussi pourquoi la réponse de sauvetage a été si rapide. Aave n’est pas un site isolé, c’est un point de passage pour de nombreux portefeuilles, stratégies de rendement, échanges de stablecoins et fonds de market-making. Si cet endroit se bloque, beaucoup d’autres protocoles liés seront aussi affectés.

Pour que USDC continue de circuler dans la DeFi, il faut Aave, ce marché de prêt clé. Si la piscine reste bloquée longtemps, l’utilisation des stablecoins en pâtira. Sauver Aave, c’est aussi sauver une voie de circulation des fonds.

Ce que cette crise laisse en suspens, ce n’est pas la question de la survie d’Aave, mais combien d’autres actifs « ressemblant à de l’ETH » sont encore liés à des ponts, RPC, nœuds de validation et configurations invisibles.

La DeFi n’a pas de banque centrale. Mais elle dispose déjà de groupes de secours temporaires, de votes pour le trésor, de sociétés de stablecoins et de lignes de crédit.

C’est cela la réalité : elle peut être sans centre, mais pas sans crédibilité. Plus on empile d’actifs, plus l’efficacité est grande, mais la responsabilité est aussi plus cachée.

Ce n’est pas une finance plus pure.

Les garanties défectueuses, c’est ce qu’il y a de plus cher.