L'attaque rsETH, qui a commencé samedi soir 18 avril, s'est intensifiée d'une seule piraterie de pont en une des plus grandes crises de liquidité de l'histoire de la DeFi en une semaine. 116 500 rsETH, d'une valeur d'environ $292 millions, ont été créés via un message falsifié sur le pont rsETH de KelpDAO basé sur LayerZero. L'attaquant a ensuite déposé directement ces jetons "non garantis" dans Aave, empruntant ainsi des actifs réels. Voici un résumé des événements de la semaine :

Comment l'attaque a-t-elle fonctionné ?

En utilisant la configuration à un seul validateur de LayerZero (1-sur-1), le pont KelpDAO a validé le faux message lzReceive de l'attaquant. Cela a permis de créer des rsETH sans verrouiller d'ETH dans le portefeuille.

Ces rsETH ont été déposés dans Aave V3 en tant que garantie en quelques minutes. Le protocole, par sa nature, a accepté la demande, et l'attaquant a retiré environ $190 millions de WETH, wstETH, et stablecoins. Aave a ensuite déclaré que "le système a fonctionné selon sa conception, le problème était que la garantie était frauduleuse."

Les mêmes jetons ont également été utilisés sur les marchés Aave d'Arbitrum et de Base. Le déficit total, selon les premières estimations, varie entre $123 millions et $230 millions.

Fuite bancaire sur Aave

Dès que la nouvelle s'est répandue, les utilisateurs ont paniqué. La masse totale sur Aave, qui était de 45,8 milliards de dollars samedi soir, est tombée à 30,8 milliards de dollars mercredi matin. La sortie d'environ $15 milliard a été la plus rapide de l'histoire du protocole.

Le moment le plus critique a été lorsque les pools USDT et USDC ont atteint 100% d'utilisation. Environ $5 milliards de stablecoins sont devenus inutilisables car les emprunteurs n'ont pas remboursé. Alors que les utilisateurs protestaient avec des plaintes du type "mon argent est bloqué" sur X, le jeton AAVE a perdu 17,7% de sa valeur en trois jours.

La direction d'Aave a gelé les marchés rsETH sur Ethereum, Arbitrum et Optimism. Les nouveaux dépôts de garantie et emprunts ont été suspendus.

Gel et suivi

Lundi, le Conseil de sécurité d'Arbitrum a gelé 30 766 ETH, environ $71 millions, dans le portefeuille de l'attaquant et l'a transféré dans un coffre-fort non surveillé. Cela a déclenché un débat sur la décentralisation, mais au moins une partie de l'argent a été récupérée.

Les fonds restants sont en cours de blanchiment rapide. Des détectives en chaîne ont déterminé que l'attaquant a converti 34 500 ETH, environ $175 millions, en Bitcoin via THORChain. Des montants plus petits ont été acheminés via le protocole de confidentialité Umbra. LayerZero a attribué l'attaque à la cellule "TraderTraitor" du groupe Lazarus lié à la Corée du Nord.

DeFi Unifié : la contre-mesure du secteur

Quelque chose d'inhabituel s'est produit en milieu de semaine. Aave, Spark, Morpho, Curve et Mantle ont formé un pool de récupération appelé "DeFi United". L'objectif est de reconstruire la garantie pour rsETH.

Initialement, 43 500 ETH, environ $101 millions, ont été déposés dans le pool commun.
Mantle a ouvert une ligne de crédit de 30 000 ETH à Aave et a déclaré : "nous contribuerons depuis le trésor si nécessaire."
À ce jour, plus de $204 millions d'actifs ont été remboursés, et la liquidité a commencé à se normaliser.

L'équipe KelpDAO a suspendu tous les contrats rsETH et réécrit le pont avec LayerZero. LayerZero a annoncé qu'il avait annulé toutes les configurations à un seul validateur et arrêté la signature des messages.

Alors, quelle est la situation avec rsETH maintenant ?

Le jeton ne garantit toujours pas l'ETH en un pour un. Il se négocie avec une décote de 6-8% sur le marché. Aave n'a pas encore décidé s'il socialisera la perte. Trois options sont envisagées :

Couverture par le trésor d'Aave
Transfert des pertes aux détenteurs de rsETH
Rachat progressif via le pool DeFi United

Le problème le plus urgent pour les utilisateurs concerne les stablecoins bloqués. Aave indique que les retraits USDT/USDC seront ouverts à mesure que les remboursements des emprunteurs s'accélèrent.

Quelle est la leçon ?

L'attaque de $292 millions a montré comment une seule erreur de configuration peut effacer $14 milliards de TVL en DeFi. Les projets "d'infrastructure" comme LayerZero sont désormais responsables non seulement du code, mais aussi de la sécurité opérationnelle.

Les dernières données partagées sous le hashtag #rsETHAttackUpdate montrent que la pire partie de la crise est terminée, mais la blessure n'est pas guérie. Le gel d'Arbitrum a sauvé $71 millions, DeFi United a levé $100 millions, mais il reste un déficit de $120 millions.

Pour le secteur, c'est le plus grand "test de confiance" depuis le crash de Terra en 2022. Si Aave absorbe les dégâts, le récit "le code est la loi" de la DeFi cédera la place à un récit d'"assurance communautaire". Sinon, un long processus judiciaire commencera entre les détenteurs de rsETH et les déposants d'Aave.

L'attaque, qui a commencé il y a une semaine, n'est plus seulement un problème pour KelpDAO, mais pour tout l'écosystème de la restaking.