KuCoin
Se connecter
language_currency
Accueil
Blog
Crypto Report
Détails
img

Exploitation de KelpDAO rsETH : comment l'attaque de 292 M$ sur le pont LayerZero a créé une dette impayée de 177 M$ sur Aave

2026/04/20 10:30:03

Exploitation de KelpDAO rsETH : comment l'attaque de 292 M$ sur le pont LayerZero a créé une dette impayée de 177 M$ sur Aave

Introduction

Que se passe-t-il lorsqu'un point unique de défaillance au sein d'une passerelle cross-chain devient un problème de 292 millions de dollars ?
 
Le 18 avril 2026, l'industrie des cryptomonnaies a obtenu sa réponse en temps réel. KelpDAO, un protocole de restaking liquide, a été vidé de 116 500 rsETH, soit environ 292 millions de dollars, grâce à une vulnérabilité dans son pont alimenté par LayerZero. L'attaque n'a pas seulement volé des jetons — elle a généré un créance d'environ 177 millions de dollars qui repose désormais sur les livres d'Aave, laissant les déposants en détresse et la communauté DeFi se demander si l'ère du financement interchaînes souffre d'un problème fondamental de confiance.
 

Qu'est-ce que KelpDAO et rsETH ? Comprendre l'espace de restaking liquide

KelpDAO est un protocole de restaking liquide construit sur EigenLayer, permettant aux utilisateurs de mettre en staking leur ETH via le protocole et de recevoir du rsETH (ETH restaké) en tant que token liquide représentant leur position en staking. Ce concept — le restaking liquide — permet aux utilisateurs de conserver leur liquidité tout en percevant des récompenses de staking, en combinant le rendement du staking natif avec la flexibilité d’un token négociable.
 
Le token rsETH est devenu populaire car il pouvait être utilisé comme garantie dans les protocoles DeFi. Les utilisateurs mettent en staking de l'ETH via KelpDAO, reçoivent du rsETH, puis utilisent ce rsETH pour emprunter d'autres actifs sur plusieurs chaînes. Le problème ? Cette fonctionnalité cross-chain reposait sur la technologie de pont de LayerZero, spécifiquement une configuration DVN (Data Verification Network) 1 sur 1 qui s'est révélée être un point unique de défaillance.
 
Pour les nouveaux venus dans le DeFi, le concept est simple. KelpDAO a promis aux utilisateurs qu'ils pourraient gagner des récompenses de staking tout en conservant l'utilisabilité de leur ETH dans d'autres protocoles. L'exécution reposait sur la confiance dans l'infrastructure de pont - une confiance qui s'est effondrée le 18 avril, lorsqu'un validateur compromis a permis à l'attaquant de créer des rsETH non garantis. L'attaquant n'a pas piraté la blockchain elle-même - il a manipulé le système de vérification des messages qui informe une chaîne de l'existence d'un jeton sur une autre.
 

Le exploit du 18 avril 2026 : Comment l'attaque s'est déroulée

L'exploitation s'est déroulée en plusieurs phases sur une période d'environ 46 minutes, selon les rapports d'incident. À partir de 18:52 UTC le 18 avril 2026, l'attaquant a exploité une faille dans la configuration du pont LayerZero de KelpDAO — plus précisément, le DVN 1/1 (vérification par un seul signataire) qui validait les messages interchaînes.
 
Voici ce qui s'est techniquement produit : 
 
 
Phase Action Impact
1 L'attaquant identifie une vulnérabilité DVN 1 sur 1 Point unique de défaillance exposé
2 Minte 116 500 rsETH non garantis ~18 % de l'offre en circulation
3 Reliez rsETH sur plus de 20 chaînes Actifs bloqués à l'échelle mondiale
4 Dépose rsETH en garantie sur Aave V3 Emprunte 126 000 WETH
5 Exécute la sortie avant la pause d'urgence 292 M$ volés
 
 
L'attaquant a fourni les rsETH volés en garantie sur Aave V3 et a emprunté environ 126 000 WETH (valant environ 236 millions de dollars à ce moment-là). Cela a créé une dette immédiate non couverte — Aave détient désormais des rsETH bien moins précieux que le WETH qu'il a prêté.
 
Des chercheurs en sécurité ont noté qu'une fenêtre de 46 minutes s'est produite entre le début de l'activité suspecte et la pause du protocole. Si la pause avait été effectuée plus tôt, un supplément de 200 millions de dollars en actifs potentiellement transférés aurait pu être évité. Le retard s'est révélé coûteux.
 

La crise des créances douteuses d'Aave : 177 M$ et counting

Les conséquences de l'exploitation ont créé une crise bien plus importante que le vol initial. Le pool WETH de Aave contient désormais environ 177 millions de dollars de dettes impayées — l'attaquant a emprunté 126 000 ETH en utilisant du rsETH volé comme garantie, et cette dette est désormais fixée en ETH, tandis que la garantie a perdu de sa valeur.
 
Les chiffres sont clairs. Lorsque l'attaquant a fourni du rsETH comme garantie, il savait qu'il n'était pas adossé. Aave l'a considéré comme une garantie valide d'une valeur d'environ 2 500 $ par rsETH. L'attaquant est parti avec du WETH réel. Aave se retrouve avec du rsETH qui est désormais essentiellement sans valeur en tant que garantie.
 
La gouvernance d'Aave a réagi rapidement :
 
  • Pause de tous les nouveaux dépôts de rsETH sur les marchés V3
  • Activation des pouvoirs d'urgence d'Aave Guardian
  • Début des discussions de gouvernance sur la récupération des créances douteuses
  • Le TVL d'Aave est passé de 26,4 milliards de dollars à 20,7 milliards de dollars - une baisse de 25 % de la valeur totale verrouillée
 
Le TVL d'Aave est passé de 26,4 milliards de dollars à 20,7 milliards de dollars après le piratage de KelpDao – une baisse de 25 % de la valeur totale verrouillée
 
Pour les déposants de WETH sur Aave, la situation est précaire. La dette impayée signifie que les fonds des déposants sont en danger si aucun recouvrement ne survient. La gouvernance d'Aave explore des options de recouvrement via le protocole Umbrella et le trésor d'Aave, mais aucune solution claire n'a encore été identifiée à ce jour.
 
L'attaquant a emprunté plus de 82 600 ETH (environ 195 millions de dollars) sur Aave en utilisant le rsETH volé, créant une dette non couverte qui continue de s'accumuler, car l'appréciation du prix de l'ETH rend plus difficile le remboursement via les réserves de trésorerie.
 
 

Vulnérabilités des ponts interchaînes : un problème systémique

L'exploitation de KelpDAO n'est pas un incident isolé — c'est le plus grand piratage DeFi de 2026 à ce jour, suivant un schéma de vulnérabilités de ponts qui ont hanté l'industrie. Du Ronin Bridge de 2022 (625 M$) à Multichain de 2023, les ponts cross-chain ont constamment prouvé être le maillon le plus faible de l'infrastructure DeFi.
 
Le problème fondamental est architectural. Les ponts cross-chain nécessitent une confiance dans les systèmes de vérification des messages. Lorsqu'un pont indique à la chaîne B qu'un token existe sur la chaîne A, ce message n'est aussi fiable que le mécanisme de vérification. L'attaque de KelpDAO a exploité une configuration DVN 1 sur 1 — un point unique de défaillance qui n'aurait jamais dû être déployé pour un protocole gérant des centaines de millions de dollars de fonds d'utilisateurs.
 
Les réactions de l'industrie ont été mitigées, mais le schéma est clair :
 
 
Année Incident Perte Cause racine
2022 Pont Ronin 625 M $ Compromission de la clé privée
2023 Multichain 130 M $ Échec de la signature multiple
2024 Divers ponts 400 M$+ Multiple
2026 KelpDAO 292 M $ Échec 1 sur 1 DVN
 
 
Le cas de KelpDAO est particulièrement préoccupant car la vulnérabilité était connue dans l'architecture de LayerZero, mais n'a pas été corrigée au niveau du protocole avant que des dommages ne surviennent.
 

Intervention et efforts de récupération de Justin Sun

Dans un geste inhabituel, le fondateur de TRON Justin Sun a offert publiquement de négocier avec l'attaquant de KelpDAO. Sun a posté sur X (anciennement Twitter) : « Hacker de KelpDAO, combien voulez-vous ? Parlons simplement. Il ne vaut simplement pas la peine de sacrifier à la fois Aave et KelpDAO et de les laisser tomber à cause de ce piratage. »
 
Justin Sun commente sur le piratage de KelpDao
 
L'attaquant a emprunté environ 126 000 ETH, créant une dette fixée en termes d'ETH. À mesure que le prix de l'ETH augmente, la charge de la dette sur le trésor d'Aave et le protocole Umbrella augmente également. L'intervention de Sun reflétait la préoccupation plus large de l'écosystème — il ne s'agissait pas seulement de KelpDAO ou d'Aave, mais de prévenir une crise systémique qui pourrait affecter les marchés de prêt dans tout le DeFi.
 
Les rsETH volés ont été signalés et gelés sur plusieurs réseaux. L'attaquant contrôle une quantité significative d'ETH, mais ne peut pas sortir facilement de ses positions sans déclencher des gelés et des enquêtes. Cela crée un impasse : l'attaquant a de la valeur sur papier, mais ne peut la concrétiser sans coopération.
 

Dois-je investir dans AAVE sur KuCoin après l'exploit rsETH ?

C'est la question qui préoccupe tous les investisseurs DeFi après l'incident KelpDAO. Aave est le plus grand protocole de prêt dans le DeFi, et cette exploitation a révélé des vulnérabilités que beaucoup pensaient avoir été résolues. Voici une évaluation honnête.
 

Raisons de prudence

  • Incertitude concernant les créances douteuses : 177 millions de dollars de créances douteuses sont détenues sur le pool WETH d'Aave, et le calendrier de recouvrement est incertain
  • Baisse du TVL : une chute de 25 % du TVL signale une perte de confiance
  • Risque interchaînes : Aave utilise des ponts tiers pour les actifs interchaînes – toute vulnérabilité du pont crée une exposition.
  • Incertitude gouvernementale : les propositions de reprise sont encore en discussion, sans issue garantie
  • Sentiment du marché : le prix de AAVE a chuté d'environ 10 % alors que le marché intégrait des pertes potentielles.
 

Raisons de considérer AAVE

  • Position de leader du marché : Malgré l'exploitation, Aave reste le protocole de prêt dominant
  • Potentiel de récupération : le trésor Aave et le protocole Umbrella disposent de ressources pour couvrir partiellement les pertes si elles sont correctement mises en œuvre
  • Nécessité DeFi : les protocoles de prêt sont fondamentaux — la demande existe indépendamment des problèmes propres à chaque protocole
  • Résilience historique : Aave a survécu à précédentes exploitations et crises du marché
  • Réponse de gouvernance : La mise en pause rapide et l'activation de la gouvernance démontrent la capacité de réponse à la crise.
 

Résumé de l'évaluation des risques

L'exploitation de KelpDAO marque une nouvelle ère des risques DeFi — des vulnérabilités cross-chain qui affectent non seulement l'utilisateur de la passerelle, mais aussi toute personne fournissant des garanties aux protocoles exposés. Pour Aave, l'impact direct est d'environ 177 millions de dollars de créances douteuses sur un TVL restant de 20,7 milliards de dollars, soit environ 0,85 % des dépôts totaux à risque.
 
La question essentielle : Pouvez-vous tolérer ce niveau de risque protocolaire ? Si vous déposez sur Aave, comprenez que vous êtes exposé aux choix de garantie des autres emprunteurs. L'attaquant a exploité le système de garantie d'Aave, et non une vulnérabilité directe des dépôts, mais l'effet sur les déposants est similaire — leurs fonds sont désormais en danger pendant les négociations de récupération.
 

Comment trader l'AAVE sur KuCoin

Pour ceux qui décident de trader AAVE sur KuCoin après l'exploitation, voici le guide pratique.
 

Étape 1 : Comprendre le risque

AAVE connaît une volatilité importante suite à l'exploit. Le prix pourrait évoluer de 10 à 20 % dans les deux sens en fonction des nouvelles sur la récupération. Ne négociez qu'avec des capitaux que vous pouvez vous permettre de perdre ou détenir pendant une volatilité prolongée.
 

Étape 2 : Exécutez votre trade

Sur KuCoin, recherchez « AAVE/USDT » dans l’interface de trading. Les volumes de trading sont élevés pendant cette période, offrant des marchés liquides pour les ordres marché et les ordres Limit.
 

Étape 3 : Considérez la taille de la position

Étant donné l'incertitude persistante, envisagez des tailles de position plus petites que la normale. La baisse de 10 % est déjà survenue, mais le délai de reprise reste incertain. L'achat en moyenne de coût en dollars sur le temps réduit le risque de timing.
 
 

Conclusion

L'exploitation de KelpDAO rsETH constitue le plus grand incident DeFi de 2026 – non seulement en raison du vol de 292 millions de dollars, mais aussi en raison de ce qu'elle révèle sur l'infrastructure cross-chain. Un seul validateur a permis à l'attaquant de créer des jetons non garantis sur plus de 20 chaînes, puis de les utiliser comme garantie sur Aave.
 
Les 177 M$ de dettes impayées actuellement sur Aave mettent en lumière les risques systémiques de la chaîne DeFi. La compositabilité des protocoles bénéficie aux utilisateurs, mais crée également des modes d’échec qui traversent les limites des protocoles. Les ponts interchaînes restent le maillon le plus faible de l’industrie tant que des réformes architecturales n’auront pas corrigé les configurations à point unique de défaillance.
 
Pour les participants à la DeFi, la leçon n’est pas d’abandonner l’espace — c’est de comprendre les risques avec plus de précision. L’attaquant détient 292 M $ d’actifs signalés qu’il ne peut pas liquider facilement. Pour Aave spécifiquement, la récupération implique des mécanismes financés par la gouvernance, sans calendrier garanti. Le protocole a déjà surmonté des défis précédents, mais cet incident a révélé des limites nécessitant une réponse structurelle continue.
 

FAQ

Q : Mon ETH est-il sécurisé sur Aave après l’exploitation de KelpDAO ?
A : 177 M $ de dettes impayées existent sur le pool WETH d'Aave, mais cela représente moins de 1 % du TVL total (20,7 M $). La gouvernance discute activement des options de récupération. Surveillez les annonces de la gouvernance d'Aave pour obtenir des mises à jour sur les délais et mécanismes de récupération.
 
Q : Que s’est-il passé pour le rsETH volé ?
A : 292 M $ de rsETH restent signalés sur plusieurs chaînes. L'attaquant ne peut pas liquider facilement ces actifs sans déclencher des gelés. Justin Sun a offert publiquement de négocier avec l'attaquant pour le retour des fonds.
 
Q : Qui est responsable de l'exploitation de KelpDAO ?
A : L'analyse technique pointe vers l'exploitation de la configuration 1-of-1 DVN de LayerZero. Cela a permis à l'attaquant de falsifier des messages cross-chain et de créer des rsETH non garantis. La vulnérabilité se trouvait dans la configuration du pont de KelpDAO, et non dans le protocole principal de LayerZero.
 
Q : Aave parviendra-t-il à récupérer les 177 M $ de créances douteuses ?
A : La gouvernance Aave explore une récupération via le protocole Umbrella et les réserves de trésorerie. Aucun délai confirmé n'existe pour l'instant. L'attaquant a emprunté 126 000 ETH contre des garanties non couvertes — la récupération nécessite soit la coopération du pirate, soit une couverture financée par la gouvernance.
 
Q : Dois-je éviter le DeFi après cette exploitation ?
L'exploitation de KelpDAO révèle les risques transchaînes, mais ne signifie pas que tous les protocoles DeFi sont insécurisés. Comprenez votre exposition aux actifs transchaînes et vérifiez les configurations des ponts des protocoles que vous utilisez. La diversification entre protocoles et une taille de position soigneusement calibrée restent des stratégies prudentes.
 
 

Avertissement : Pour votre confort, cette page a été traduite à l'aide de la technologie IA (GPT). Pour obtenir les informations à la source, consultez la version anglaise originale.