En avril 2026, le secteur des cryptomonnaies a été confronté à un événement majeur de risque systémique dans la DeFi. Une vulnérabilité de configuration sur le bridge cross-chain de KelpDAO, liée à LayerZero, a été exploitée, entraînant la création non autorisée de rsETH. Cette faille s’est propagée dans l’écosystème, occasionnant près de 200 millions de dollars de créances douteuses pour le protocole Aave et effaçant plus de 1,3 milliard de dollars de valeur totale verrouillée (TVL) sur la DeFi en seulement 72 heures. Cet incident a non seulement mis en évidence les expositions croisées entre bridges cross-chain et protocoles de prêt, mais a également déclenché un débat approfondi sur les limites de sécurité de la composabilité dans la DeFi.
Comment l’attaque contre KelpDAO a-t-elle conduit à près de 200 millions de dollars de créances douteuses pour Aave ?
L’attaque s’est déroulée en trois étapes. D’abord, l’attaquant a exploité une faille de configuration sur le bridge cross-chain de KelpDAO utilisant LayerZero, contournant les contrôles d’autorisation et générant illégalement une grande quantité de rsETH sur la chaîne source. Ensuite, l’attaquant a transféré le rsETH nouvellement émis vers le réseau principal Ethereum et l’a rapidement échangé contre d’autres actifs sur plusieurs DEX, provoquant un bref décrochage du rsETH. Enfin, puisque Aave avait intégré le rsETH comme actif collatéral, l’attaquant a utilisé l’excédent de rsETH pour emprunter de l’ETH et de l’USDC, puis a retiré la liquidité, laissant une dette non couverte. Au 20 avril 2026, les communications officielles d’Aave estiment le montant des créances douteuses entre 177 et 200 millions de dollars, le chiffre final dépendant des processus de liquidation et de recouvrement ultérieurs.
Comment la vulnérabilité du bridge cross-chain rsETH et la mauvaise configuration de LayerZero ont-elles été révélées ?
La cause première de l’attaque résidait dans une gestion défaillante des autorisations sur le bridge cross-chain. Le bridge de KelpDAO s’appuyait sur le protocole de messagerie générique de LayerZero mais n’a pas strictement vérifié l’adresse des contrats émetteurs lors de la configuration. L’attaquant a usurpé l’identité d’un expéditeur légitime et soumis une instruction de "mint" à la chaîne de destination. Les contrats relayer et endpoint de LayerZero ont exécuté le message normalement, leur processus de vérification ne contrôlant que la signature du message, sans valider la logique métier du contenu. Il s’agit d’un cas classique de "décalage entre configuration et logique métier", un schéma observé dans plusieurs attaques de bridges cross-chain entre 2025 et 2026. Alors que les droits de création de rsETH devaient être limités à certains contrats, l’interface de mint du bridge cross-chain a été par erreur exposée à des appels externes.
Pourquoi Aave n’a-t-il pas pu éviter 177 millions de dollars de créances douteuses ?
En tant que protocole de prêt décentralisé, le modèle de risque d’Aave repose sur des oracles on-chain et des mécanismes de liquidation. Dans ce cas, le décrochage du rsETH a été bref et l’attaquant a finalisé ses emprunts avant la baisse du prix. Lorsque le prix du rsETH a commencé à chuter, les positions de l’attaquant étaient déjà sous-collatéralisées, mais les bots de liquidation d’Aave n’ont pas réagi à temps pour deux raisons principales. Premièrement, le facteur de collatéral du rsETH sur Aave était relativement élevé, offrant une marge que l’attaquant a exploitée. Deuxièmement, l’attaquant a utilisé plusieurs adresses pour répartir ses emprunts, rendant chaque position individuellement saine alors que l’exposition globale au risque était massive. De plus, l’oracle d’Aave n’a pas immédiatement reflété le vrai prix de négociation du rsETH sur les DEX, car son mécanisme de prix moyen pondéré dans le temps (TWAP) présentait un décalage, déclenchant les liquidations trop tard pour empêcher les retraits d’actifs.
Comment la composabilité de la DeFi amplifie-t-elle les risques d’un protocole unique ?
La composabilité est un atout central de la DeFi, mais elle accélère également la propagation des risques. Dans l’incident KelpDAO, le risque s’est propagé rapidement le long de la chaîne "bridge cross-chain — token de restaking — protocole de prêt". La vulnérabilité du bridge a conduit à une surémission de rsETH, qui, utilisé comme collatéral sur Aave, a permis des emprunts excessifs et a finalement transformé la valeur d’actifs fictifs en retraits réels de liquidités. Ce mécanisme de transmission n’est pas linéaire : un coût d’attaque de 5 millions de dollars a généré près de 200 millions de dollars de créances douteuses et plus de 1,3 milliard de dollars de sorties de TVL. Après l’incident, les acteurs du marché ont rapidement retiré leur liquidité d’Aave et d’autres protocoles de prêt, accentuant la fuite des capitaux. Au 20 avril 2026, la TVL totale de la DeFi est passée d’environ 115 milliards de dollars avant l’événement à moins de 102 milliards, soit une perte supérieure à 13 milliards de dollars.
Qui est à l’origine de l’exode de 1,3 milliard de dollars de TVL ?
La chute rapide de la TVL reflète trois niveaux de comportement de marché. Le premier niveau concerne l’impact direct sur Aave, où les utilisateurs ont retiré environ 4,5 milliards de dollars de liquidité pour éviter le blocage ou la liquidation de leurs actifs. Le deuxième niveau inclut les agrégateurs et protocoles à effet de levier interagissant avec Aave, qui, face à l’incertitude du marché du prêt sous-jacent, ont dû réduire leurs positions ou suspendre leurs services, entraînant 3,5 milliards de dollars de sorties passives supplémentaires. Le troisième niveau a été dicté par la panique, poussant les utilisateurs à retirer leurs actifs de protocoles de prêt et de staking non liés, générant environ 5 milliards de dollars de retraits de débordement. À noter, la vitesse de cette fuite de capitaux est parmi les plus rapides de l’histoire de la DeFi, la TVL chutant de 11,3 % en seulement 72 heures. L’ETH et les stablecoins ont connu les sorties les plus importantes, avec des baisses d’environ 4,8 milliards et 5,2 milliards de dollars respectivement.
L’assurance DeFi peut-elle couvrir de tels angles morts lors d’attaques similaires ?
Les protocoles d’assurance DeFi actuels offrent une couverture très limitée pour ce type d’incident. Les solutions d’assurance majeures, comme Umbrella, ne couvrent généralement que les pertes directes liées à des vulnérabilités de smart contracts, et non les créances douteuses indirectes causées par la "transmission de risque inter-protocole". Dans l’attaque KelpDAO, la créance douteuse d’Aave ne résulte pas d’une faille dans ses propres contrats, mais d’un apport anormal d’un protocole externe. La question de savoir si l’assurance doit couvrir ce type de "risque d’entrée externe" reste ouverte dans le secteur. Par ailleurs, les pertes liées au décrochage de valeur et aux liquidations manquées sont souvent exclues au titre du "risque de marché" ou du "risque opérationnel". Au 20 avril 2026, plusieurs assureurs ont indiqué qu’ils examinaient les demandes liées à cet incident, mais la plupart des pertes devraient rester non assurées. Cet angle mort met en lumière les limites de l’assurance DeFi face au risque systémique.
Résumé
L’exploitation du bridge cross-chain de KelpDAO s’impose comme l’un des incidents de sécurité DeFi les plus graves de 2026 à ce jour. Pour un coût d’attaque d’environ 5 millions de dollars, elle a déclenché près de 200 millions de dollars de créances douteuses sur Aave et plus de 1,3 milliard de dollars d’évaporation de TVL. Les principaux enseignements sont les suivants : les autorisations des bridges cross-chain doivent être strictement liées à la logique métier, les protocoles de prêt doivent renforcer les paramètres de risque pour les collatéraux non traditionnels, et les cadres d’assurance DeFi doivent d’urgence s’étendre à la couverture de la transmission du risque systémique. Si la composabilité améliore l’efficacité du capital, elle exige aussi des mécanismes d’isolation du risque plus clairs entre protocoles. Pour l’industrie, cet incident n’est pas une fin, mais un tournant pour l’évolution des standards de gestion du risque dans la DeFi.
FAQ
Q : Qui supporte finalement les 200 millions de dollars de créances douteuses résultant de l’attaque KelpDAO sur Aave ?
R : La créance douteuse est d’abord couverte par les réserves du protocole Aave. Si ces réserves sont insuffisantes, le protocole comble progressivement le déficit via les produits des liquidations futures et les frais accumulés. Selon les décisions de gouvernance communautaire, une partie des pertes pourrait in fine être supportée indirectement par les fournisseurs de liquidité d’Aave.
Q : Cette attaque affectera-t-elle d’autres bridges cross-chain utilisant LayerZero ?
R : Le protocole LayerZero lui-même n’était pas vulnérable — le problème venait d’une mauvaise configuration de la validation des messages sur KelpDAO. Cependant, d’autres bridges appliquant des contrôles d’autorisation aussi laxistes s’exposent à des risques similaires. Il est fortement recommandé aux équipes projets d’auditer immédiatement la logique de validation des messages cross-chain.
Q : Comment les investisseurs peuvent-ils se prémunir contre des risques de composabilité similaires dans la DeFi ?
R : Les investisseurs doivent prêter une attention particulière aux dépendances entre protocoles et éviter de concentrer des montants importants dans des stratégies DeFi très imbriquées. Il est conseillé de privilégier les protocoles ayant subi plusieurs audits, mis en place des mécanismes d’isolation du risque et disposant de plans de liquidation éprouvés. Diversifier ses actifs entre différentes architectures de protocoles constitue également une stratégie efficace de gestion du risque.
