#KelpDAO跨链桥遭攻击

Presque faire faillite à AAVE ! Analyse complète de l'attaque rsETH

Un article a discrètement fait du bruit dans la crypto ce week-end : un protocole appelé Kelp DAO a été victime d'une attaque de hackers, qui ont volé 290 millions de dollars, affectant AAVE. Justin Sun a immédiatement retiré plus d’un milliard de dollars d’actifs d’AAVE, provoquant une réaction en chaîne. Jusqu’à ce matin, les flux de fonds sortants d’Aave liés à l’incident rsETH ont atteint 10,1 milliards de dollars. En conséquence, le prix d’AAVE a chuté de près de 30 dollars. Cette attaque, la plus grande de l’histoire de la DeFi en 2026, dépasse même celle de Drift. Quelle est l’étendue de ses répercussions dans le monde des cryptos ? Deviendra-t-elle un “événement LUNA” qui anéantira le marché lors de ce marché baissier ? Parlons-en ensemble.

Le protocole Kelp DAO a émis un jeton appelé rsETH, conçu pour fournir de la liquidité aux plateformes de sur-marge (comme EigenLayer) pour les actifs non liquides déposés, facilitant la réinitialisation d’un seul jeton liquide pour les LST acceptés, que l’on peut comprendre comme une “représentation de ré-marge LRT”.

Ce jeton repose sur le pont inter-chaînes LayerZero, permettant de sauter d’une chaîne à l’autre.

Hier, un hacker a découvert une faille dans LayerZero — en résumé :

Il a falsifié un message “envoyé depuis la chaîne A”, disant au pont de Kelp : “Hé, quelqu’un a déposé de l’ETH sur une certaine chaîne, rapidement, crée-lui 116 500 rsETH.”

Le contrat de Kelp a cru à cette fausse information.

Ainsi, 116 500 rsETH ont été créés ex nihilo, représentant 18 % de la circulation, d’une valeur de 292 millions de dollars.

Après avoir obtenu ces rsETH, le hacker a effectué deux actions :

1. Les a déposés comme collatéral dans Aave, Compound, Euler pour emprunter de l’ETH

2. En a vendu une partie directement

Au final, il a liquidé 74 000 ETH, soit environ 280 millions de dollars.

Aave a enregistré une créance douteuse de 236 millions de dollars à cause de ce collatéral rsETH.

Que signifie-t-il ?

Le hacker a utilisé de la fausse monnaie comme garantie pour emprunter de vrais ETH. Maintenant que la fausse monnaie ne vaut plus rien, la garantie d’Aave est de l’air. Ces 236 millions de dollars, Aave doit les supporter lui-même.

Le jeton AAVE a chuté de 10 % immédiatement.

Après coup, Kelp a suspendu le contrat pendant 46 minutes, mais cela n’a pas pu sauver la perte de 236 millions de dollars d’Aave.

Comment doit-on évaluer le risque systémique dans le système DeFi ?

Personne n’ose vraiment répondre à cette question.

On parle tous de “composabilité” et de “jouets financiers en Lego” — mais personne ne vous dit :

Lorsque vous déposez le rsETH émis par le protocole A dans le protocole B comme garantie, empruntez de l’ETH dans le protocole C, puis faites du LP dans le protocole D —

Vous ignorez qu’une faille dans le protocole A peut faire exploser B, C, et D en même temps.

📉 Alors, cet incident pourrait-il faire tomber le marché crypto et devenir un autre “événement LUNA” ?

D’abord, en termes d’impact direct, le Bitcoin, en tant qu’actif relativement indépendant et peu lié à la DeFi, n’a pas été beaucoup affecté. Les données récentes montrent que l’afflux hebdomadaire net dans le ETF Bitcoin spot aux États-Unis reste proche de 1 milliard de dollars, ce qui indique que la confiance des investisseurs institutionnels dans le Bitcoin n’a pas été affectée par cet incident.

Ensuite, en termes d’impact indirect, l’événement LUNA n’a pas provoqué une chute majeure du Bitcoin, mais il a été le prélude à la dernière vague de baisse du marché baissier. La chute drastique de LUNA, qui a fini par devenir zéro, a propagé un sentiment de désespoir dans la crypto. Aujourd’hui, plusieurs années plus tard, le prix d’AAVE a déjà chuté de 30 %, et il n’y a toujours pas de conclusion sur la gestion de cette créance douteuse de 236 millions. C’est aussi la raison pour laquelle les fonds dans le protocole AAVE continuent de sortir.

👀 La question clé : comment gérer cette créance douteuse de 236 millions ? Si la situation continue de s’aggraver, le prix d’AAVE pourrait encore baisser. Mais étant donné la faible reproductibilité de l’incident, il ne devrait pas entraîner une spirale de mort comme celle de LUNA.

Enfin, la grande question : selon vous, qui doit payer cette créance douteuse de 236 millions ?

A. Aave lui-même (il a déjà perçu des intérêts)

B. Kelp DAO (les tokens qu’ils ont émis)

C. LayerZero (il y a une faille dans leur code)

D. Les utilisateurs (ce n’est pas la première fois, après tout)

Laissez votre réponse dans la section commentaires !