Un exploit d'environ 292 millions de dollars au cours du week-end a secoué l'industrie des cryptomonnaies, révélant des vulnérabilités dans l'infrastructure de la finance décentralisée (DeFi) et suscitant des inquiétudes quant aux effets domino sur les protocoles de prêt.
Alors que les enquêtes sont toujours en cours, une analyse préliminaire suggère que l'attaque ciblait le token rsETH de Kelp — une version générant des rendements de l'ether (ETH) — ainsi que le mécanisme utilisé pour déplacer des actifs entre les blockchains.
L'attaquant semble avoir manipulé ce système pour créer de grandes quantités de jetons sans fondement adéquat, puis les a rapidement utilisés comme garantie pour emprunter et vider des actifs réels des marchés de prêt, principalement auprès d'Aave AAVE$90.11, le plus grand prêteur décentralisé de crypto-monnaies.
L'incident constitue le dernier coup dur pour la DeFi, survenant quelques semaines seulement après l'exploitation de 285 millions de dollars du protocole basé sur Solana, Drift, affaiblissant davantage la confiance des investisseurs dans le secteur cryptographique d'environ 90 milliards de dollars.
À un niveau élevé, l'exploitation a ciblé un composant de pont LayerZero — une infrastructure permettant le transfert d'actifs entre différentes blockchains, a indiqué Charles Guillemet, CTO du fabricant de wallet matériel Ledger, dans une note à CoinDesk.
Les ponts fonctionnent généralement en verrouillant des actifs sur une chaîne et en créant des jetons équivalents sur une autre. Ce processus dépend d'une entité de confiance — souvent appelée oracle ou validateur — pour confirmer les dépôts.
Dans ce cas, Kelp a agi efficacement comme ce vérificateur. Selon Guillemet, le système reposait sur une configuration à signataire unique, ce qui signifie qu'une seule entité pouvait approuver toutes les transactions.
"Il semble que l'attaquant ait pu signer un message... lui permettant de créer un grand montant de rsETH," a-t-il déclaré. Il a ajouté qu'il reste incertain comment cet accès a été obtenu.
Michael Egorov, fondateur de Curve Finance, pointé la même faiblesse dans la configuration du système.
Des choses peuvent arriver lorsque vous faites confiance à une seule partie — quelle qu'elle soit.
Cette configuration a permis à l’attaquant de créer efficacement des jetons non garantis, bien qu’aucun actif correspondant ne soit verrouillé sur la chaîne source.
Une fois frappés, les jetons ont été rapidement déployés. L'attaquant « les a immédiatement déposés dans des protocoles de prêt, principalement Aave, pour emprunter de l'ETH réel en contrepartie », a expliqué Guillemet.
Cette manœuvre a déplacé le problème d’une seule exploitation vers une question plus large sur le marché. Les plateformes de prêt DeFi se retrouvent maintenant avec des collatéraux qui pourraient être difficiles à dénouer, tandis que les actifs précieux et liquides sont déjà vidés.
« Aave s'est retrouvé avec du rsETH qui ne peut pas être vraiment vendu et du ETH emprunté au maximum, donc personne ne peut retirer d'ETH », a déclaré Egorov de Curve.
Il a averti qu’en conséquence, Aave et d’autres protocoles de prêt pourraient détenir des centaines de millions de dollars en garanties douteuses et créances douteuses, suscitant des inquiétudes quant à une dynamique de « course aux retraits » alors que les utilisateurs se précipitent pour retirer leurs fonds.
Aave a enregistré une baisse d'environ 6 milliards de dollars de ses actifs sur le protocole, les utilisateurs retirant leurs actifs après l'incident. Le token associé au protocole a chuté d'environ 15 % au cours des 24 dernières heures de négociation.
Des questions cruciales subsistent quant à la manière dont le validateur a été compromis. Le système reposait sur le nœud officiel de LayerZero, ce qui soulève des incertitudes quant à une éventuelle violation, une mauvaise configuration ou une tromperie.
« Est-ce que cela a été piraté ? Est-ce que cela a été trompé ? Nous ne savons pas », a déclaré Egorov.
L'identité de l'attaquant est également inconnue, bien que Guillemet ait déclaré que l'ampleur de l'attaque suggère un acteur sophistiqué.
« Clairement pas des script kiddies », a-t-il dit.
Au-delà des pertes immédiates, cet exploit constitue un autre rappel que, à mesure que la DeFi devient de plus en plus interconnectée, les défaillances à un niveau peuvent rapidement se propager à travers le système.
Egorov a soutenu que les modèles de prêt non isolés, où les actifs partagent le risque entre les pools, amplifient l'impact de tels événements.
Il a également souligné les lacunes dans la manière dont les nouveaux actifs sont intégrés sur les plateformes de prêt, affirmant que des configurations comme le système de vérificateur 1 sur 1 de Kelp auraient dû être signalées plus tôt.
Cependant, Egorov a déclaré qu'il y avait un côté positif. « Le crypto est un environnement difficile que n'importe quelle banque n'aurait pas survécu — pourtant, nous travaillons avec cela », a-t-il dit. « Je pense que la DeFi tirera des leçons de cet incident et deviendra plus forte qu'avant. »
Pourtant, même si des incidents comme celui-ci entraînent des mises à niveau et des redesigns de protocole, ils érodent également la confiance des investisseurs dans le secteur DeFi dans son ensemble.
« Dans l'ensemble, la confiance dans les protocoles DeFi est érodée par ce type d'événement », a déclaré Guillemet.
« Et 2026 sera probablement l'année la plus mauvaise en termes de piratages, encore une fois », a-t-il ajouté.
En savoir plus : 'DeFi est mort' : la communauté crypto s'agite après le plus grand piratage de cette année, qui révèle les risques de contamination