Suite à la violation de sécurité sur le pont rsETH de KelpDAO, Aave a publié une mise à jour complète sur l'état des lieux. Le protocole détaille le contexte technique de l'incident, son impact sur Aave et les scénarios de dommages potentiels dans ce nouveau rapport.
Selon la déclaration, les fournisseurs de services connectés à l'Aave DAO évaluent actuellement des scénarios potentiels de « mauvaise dette » qui pourraient survenir dans le protocole et travaillent en coordination avec les participants de l'écosystème pour combler cette lacune.
Selon le rapport, l'attaque a eu lieu le 18 avril 2026 sur la route Unichain-Ethereum rsETH de Kelp basée sur LayerZero V2. L'attaquant aurait retiré 116 500 rsETH de l'adaptateur Ethereum en utilisant un paquet de vérification falsifié, puis distribué ces actifs à plusieurs adresses, en constituant une partie comme garantie sur Aave V3 et en empruntant du WETH et du wstETH. Selon les données d'Aave, l'attaquant a utilisé un total de 89 567 rsETH comme garantie sur Aave, tout en empruntant environ 82 650 WETH et 821 wstETH. Une part importante de ces positions a été ouverte sur les réseaux Ethereum et Arbitrum.
Aave a spécifiquement indiqué que l'incident n'avait pas sa source dans ses propres contrats intelligents. Selon le protocole, la vulnérabilité de sécurité provenait entièrement de l'infrastructure externe à laquelle l'actif rsETH était lié, et les contrats d'Aave, son système oracle et ses mécanismes de liquidation ont fonctionné comme prévu tout au long du processus. Après la détection de l'incident, les réserves de rsETH et de wrsETH ont été gelées sur toutes les distributions Aave V3, le ratio prêt/valeur a été réduit à zéro dans les marchés concernés, et les nouvelles émissions ou opérations d'emprunt ont été arrêtées. De plus, le modèle de taux d'intérêt WETH sur différentes chaînes a été mis à jour, et d'autres mesures de gel ont été mises en œuvre sur les marchés WETH pour empêcher la propagation de nouveaux emprunts.
Aave a présenté deux scénarios pour indemniser les dommages subis
Le rapport a examiné deux scénarios principaux pour les pertes potentielles. Dans le premier scénario, si les pertes étaient réparties uniformément sur l'ensemble de la fourniture de rsETH, la dette impayée totale sur Aave pourrait atteindre environ 123,7 millions de dollars. Dans ce cas, la perte absolue la plus importante serait observée sur Ethereum Core, tandis que l'impact proportionnel le plus fort se produirait sur la chaîne Mantle. Le second scénario suppose que les pertes ne sont reflétées que sur les actifs rsETH sur L2. Dans ce cas, l'estimation de la dette impayée totale s'élève à 230,1 millions de dollars. Selon le rapport, dans ce scénario, la pression la plus forte serait exercée sur les réserves de WETH sur Mantle, Arbitrum et Base.
Selon les données partagées par Aave, le trésor DAO détenait un total de 181 millions de dollars en actifs au 20 avril 2026. Parmi ces actifs, 62 millions de dollars étaient constitués de produits liés à Ethereum, 54 millions de dollars en jetons AAVE et 52 millions de dollars en stablecoins. En outre, le protocole a déclaré avoir généré 145 millions de dollars de revenus tout au long de l'année 2025, et avoir réalisé 38 millions de dollars de revenus et 16 millions de dollars de bénéfice net depuis le début de 2026. Aave a déclaré qu'il s'appuie non seulement sur les ressources du trésor, mais aussi sur les engagements de soutien des représentants de l'écosystème.
Actualités connexes : Allégations de manipulation majeure dans une altcoin - Crypto Detective ZachXBT s'exprime
Un autre point notable du rapport était la tension sur la liquidité sur les marchés WETH. Il a été indiqué que les réserves de WETH sur Ethereum, Arbitrum, Base, Linea et Mantle ont actuellement atteint une utilisation de 100 %. Cela rend plus difficile pour les fournisseurs de liquidité d'accéder à du WETH disponible pendant les processus de liquidation, augmentant ainsi la pression sur le système. Aave a déclaré que, bien que le système continue généralement de fonctionner, les décisions externes, notamment concernant la répartition des pertes rsETH, détermineront le résultat final.
Que attendre du mécanisme Umbrella ?
Dans le rapport publié par Aave, le « Umbrella » (également connu sous le nom de module de sécurité/assurance) se distingue comme l'un des sujets critiques dans le contexte de la crise rsETH. Ce mécanisme fonctionne comme une couche de sécurité visant à protéger certaines réserves en s'activant en cas de « dettes impayées » qui pourraient survenir dans le protocole.
Selon les détails partagés par Aave, le module Umbrella agit comme une couche de protection, spécifiquement pour les réserves de WETH sur le mainnet Ethereum (Core). Normalement, ce module fonctionne via un pool créé en mettant en gage certains actifs, et lorsque le protocole subit des pertes, les actifs de ce pool peuvent être utilisés pour couvrir une partie du déficit par le biais d’un « slashing » (déduction).
Cependant, dans le contexte de la crise actuelle du rsETH, Aave a proposé une suggestion notable concernant le module Umbrella : sa suspension temporaire. La principale raison derrière cela est d'éviter que le module ne soit activé prématurément et de manière incontrôlée dans un scénario extrême potentiel (notamment si les pertes se propagent à l'ensemble du système), afin d'empêcher l'épuisement rapide des actifs mis en gage.
Selon le rapport, une part importante des environ 23 500 WETH actuellement stakés sous Umbrella se trouve dans la phase « unstaking pending ». Cela indique que les investisseurs se préparent à retirer leurs fonds, ce qui soulève un risque potentiel de bank run.
D'autre part, il est indiqué que dans le deuxième scénario (où les pertes sont limitées uniquement aux rsETH sur les réseaux L2), le module Umbrella peut ne pas nécessiter d'être activé. Cela est dû au fait que ce module ne couvre que les réserves sur le mainnet Ethereum, et les pertes provenant des réseaux L2 se situent en dehors du champ d'application de ce mécanisme de sécurité.
En conclusion, bien qu’Umbrella soit considérée comme une « dernière ligne de défense » importante à laquelle Aave peut recourir en période de crise, dans la situation actuelle, la maintenir en standby de manière contrôlée est jugée une stratégie plus sûre que son déploiement direct.
*Ceci n'est pas un conseil en investissement.
Continuer la lecture : Aave publie un rapport détaillé sur le piratage de KelpDAO : Comment les pertes seront-elles couvertes ? Aave est-il en danger ?