#Aave #rsETH #RiskManagement #SécuritéCrypto

Sécurité – La crise d’Aave est-elle sous contrôle ?
Une réponse à l’échelle de l’industrie, un trou, et ce que cela signifie pour le risque DeFi

Le 18 avril 2026, le protocole de restaking liquide Kelp DAO a subi la plus grande exploitation DeFi de l’année. Un attaquant a exploité une vulnérabilité dans la passerelle alimentée par LayerZero de Kelp, créant environ 116 500 rsETH d’une valeur d’environ $200M millions sans déposer d’ETH sous-jacent. Les tokens non garantis ont ensuite été mis en garantie sur Aave V3 pour emprunter environ $292 millions en WETH et wstETH.

Le résultat : une dette douteuse estimée entre $236 millions et $124 millions en attente sur Aave, selon la répartition des pertes entre les chaînes. En 48 heures, plus de $230 milliards de dépôts ont quitté Aave. La valeur totale verrouillée est passée de 26,4 milliards de dollars à 17,9 milliards. La TVL de l’ensemble de la DeFi a chuté de plus de $9 milliards.

1. Ce qui s’est passé et pourquoi Aave a été touché
L’attaque n’a pas compromis les contrats intelligents d’Aave. Le risque provenait de rsETH, un token de restaking liquide accepté comme garantie. Une fois la passerelle vidée, rsETH a perdu son soutien. Son prix s’est effondré, transformant des prêts sains en positions sous-eau qui ne pouvaient pas être liquidées. Le Gardien du protocole d’Aave a gelé les marchés de rsETH, wrsETH, et WETH et a mis le ratio prêt/valeur à zéro.

L’utilisation de WETH a explosé à 100 %. Les utilisateurs ne pouvaient pas retirer. Les taux d’emprunt sur ETH, USDT, et USDC ont bondi à 8 % et 14 %. Le protocole n’a pas été piraté, mais il a absorbé le risque systémique d’un actif externe.

2. La réponse : l’unité de la DeFi
L’industrie a réagi rapidement. Un effort coordonné appelé « DeFi Unifié » a été formé pour restaurer le soutien à rsETH. Les contributions clés jusqu’à présent :
• DAO d’Aave : Proposition de 25 000 ETH, d’une valeur d’environ $13 millions, provenant de sa trésorerie. Le fondateur Stani Kulechov a promis 5 000 ETH personnellement. • Mantle : Proposition d’une facilité de crédit allant jusqu’à 30 000 ETH pour aider Aave à absorber la dette restante. • Fondation EtherFi : 5 000 ETH. • DAO de Lido : Jusqu’à 2 500 stETH. • Fondation Golem : 1 000 ETH. • Conseil de sécurité d’Arbitrum : A gelé et déplacé 30 700 ETH tracés jusqu’à l’exploitant, soumis maintenant à une proposition de gouvernance pour le libérer dans le fonds de récupération.
En incluant les promesses individuelles et protocolaires, le fonds s’élève à environ 69 534 ETH, soit $58 millions. Avec l’ETH gelé d’Arbitrum, les analystes estiment que le déficit pourrait être entièrement couvert si toutes les propositions sont adoptées.

Kelp DAO lui-même a rapporté avoir récupéré 73 700 ETH, bien qu’il reste un écart d’environ 89 500 ETH à la fin de la semaine dernière.

3. Le protocole est-il résilient ? Trois signaux

Vitesse de la containment : Aave a suspendu les marchés dans l’heure suivant l’exploitation et a empêché tout nouvel emprunt. La vecteur d’attaque était en dehors du protocole, mais les contrôles de risque ont été rapidement activés.

Capacité du trésor : La trésorerie du DAO d’Aave détient $161 millions, dont $181 millions en actifs liés à l’ETH. La proposition de 25 000 ETH est l’une des plus importantes réponses à incident soutenues par une trésorerie dans l’histoire de la DeFi. Le module de sécurité Umbrella détenait environ $62 millions avant l’événement.

Coordination inter-protocoles : C’est la première fois que plusieurs DAO, L2, et fournisseurs d’infrastructure ont déplacé des fonds dans un véhicule commun pour couvrir la dette douteuse d’un seul protocole. Le précédent est important : il montre que la gouvernance peut allouer du capital à grande échelle sous pression.

4. La confiance n’est pas totalement restaurée
Les chiffres montrent des progrès, mais la confiance met plus de temps. Le solde de staking d’Aave a chuté de 33 % en trois jours, passant de $50 milliards à $45 milliards. La TVL totale de la DeFi a diminué de plus de 27 % depuis le début de l’année. Les analystes notent que des exploits répétés pèsent sur l’intérêt institutionnel.

L’exploitation a également mis en évidence un risque structurel : les ponts restent le maillon faible. L’attaque a utilisé une configuration DVN 1-sur-1 sur LayerZero, où un seul vérificateur compromis pouvait signer un message frauduleux. Aucun clé n’a été volée. Aucun bug de contrat intelligent. Juste du sabotage d’infrastructure.

5. Pourquoi la gestion des risques reste cruciale
• Normes de garantie : Les actifs dépendant d’un pont unique créent une exposition systémique. Les protocoles réévaluent désormais quels tokens bridgés peuvent être considérés comme des garanties. • Décentralisation DVN : LayerZero et d’autres passent à des configurations à plusieurs vérificateurs. Flare est passé de deux à quatre vérificateurs après l’événement. • Tampons contre la dette douteuse : La gouvernance d’Aave teste si les trésoreries et modules de sécurité peuvent couvrir des événements extrêmes sans socialiser les pertes. Le vote sur la dépense de 25 000 ETH est la variable immédiate.

Aave a couvert ou aligné une couverture pour environ 80 % du trou via un mélange de fonds récupérés, de contributions DAO, et de promesses de l’écosystème. Les contrats principaux du protocole n’ont pas été compromis, et la réponse d’urgence a évité une cascade plus importante.

Cela démontre une réponse forte du protocole et une véritable résilience sous pression. Mais cet épisode rappelle aussi : dans la DeFi, le risque n’est pas éliminé, il est transformé. Les ponts, oracles, et tokens de staking liquide sont de nouvelles couches de confiance. Leur gestion est désormais une infrastructure critique.

La confiance n’est pas totalement brisée, mais elle n’est pas non plus totalement restaurée. La façon dont Aave réglera la dette douteuse, comment rsETH retrouvera son soutien, et comment la gouvernance mettra à jour la politique de garantie déterminera si cela devient une étude de cas sur la reprise ou un avertissement sur la complexité.
$30