Analyse Approfondie de l'Incident KelpDAO : Aave n'a pas été « piraté » – Alors, pourquoi a-t-il été confronté à une crise ?
Analyse Approfondie de l'Incident KelpDAO : Aave n'a pas été « piraté » – Alors, pourquoi a-t-il été confronté à une crise ?
Le 18 avril 2026, un mouvement anormal impliquant environ 116 500 rsETH s'est transformé en un test de résistance grandeur nature pour les hypothèses de risque de la DeFi. Les contrats intelligents principaux d'Aave n'ont pas été compromis, pourtant le protocole s'est retrouvé au centre d'un choc de liquidité et d'un « moment de vérité » pour la gouvernance : un marché de prêt décentralisé de premier plan peut-il rester résilient lorsque le collatéral qu'il accepte se déprécie à l'extérieur – rapidement ? (governance.aave.com)
Cet article est un compte-rendu original et structuré, inspiré par les divulgations publiques et les discussions communautaires autour de l'incident (y compris les commentaires circulant sous le titre italien « Come l’exploit di Kelp DAO su rsETH ha messo Aave davanti al suo ‘moment of truth’ »). (governance.aave.com)
1) Les acteurs : KelpDAO, rsETH, et pourquoi la DeFi s'en est souciée
rsETH est couramment décrit comme un « liquid restaking token » (LRT) : un dérivé qui encapsule des stratégies de rendement libellées en ETH dans un actif transférable – souvent utilisé sur plusieurs chaînes via des couches de pontage et de messagerie. Cette composabilité est précisément ce qui rendait rsETH attractif comme collatéral… et ce qui a amplifié la portée des dégâts lorsque les choses ont mal tourné. (finance.yahoo.com)
Aave est important ici pour une raison simple : en tant que l'un des plus grands lieux de prêt de la DeFi, c'est là que les utilisateurs ont tendance à apporter des actifs générateurs de rendement pour emprunter des jetons liquides comme le WETH et les stablecoins. Cela crée un couplage systémique entre les « enveloppes de rendement » (LST / LRT) et les marchés de « liquidité de base ». (forbes.com)
2) Ce qui s'est passé le 18 avril 2026 : la chronologie déterminante
Étape A : Une défaillance inter-chaînes a produit du rsETH « contaminé »
Plusieurs rapports convergeaient sur le même point central : l'incident provenait de l'extérieur d'Aave, lié à une activité inter-chaînes suspecte impliquant rsETH et son chemin de pontage / messagerie. Concrètement, le rsETH a été créé ou émis d'une manière qui n'était pas correctement adossée (ou du moins pas remboursable en toute sécurité selon les mêmes hypothèses qu'auparavant). (support.token.im)
Plusieurs analyses ont pointé du doigt un chemin de message falsifié ou abusivement utilisé impliquant les mécanismes de LayerZero EndpointV2, ce qui est cohérent avec le profil de risque plus large de la vérification et de la configuration inter-chaînes. (forbes.com)
Étape B : L'attaquant (ou le flux contaminé) a atteint Aave via le collatéral
Une fois que le rsETH a pu être déplacé à grande échelle, le scénario était simple : déposer du rsETH dans Aave comme collatéral, puis emprunter de la liquidité réelle (notamment du WETH) en contrepartie – faisant ainsi peser le risque sur le bilan d'Aave si le collatéral devenait inliquidable. (forbes.com)
Étape C : Aave a réagi – rapidement – mais le marché a quand même paniqué
Les responsables des risques d'Aave ont agi vite. Selon les communications de la gouvernance d'Aave, à partir de 18h52 UTC le 18 avril 2026, le Gardien d'Aave a gelé les marchés rsETH et wrsETH sur tous les déploiements où ils étaient listés, et des mesures de protection équivalentes ont été appliquées sur Aave V4. (governance.aave.com)
Peu de temps après, les mises à jour de la gouvernance d'Aave ont également décrit des actions préventives supplémentaires, notamment le gel du WETH sur plusieurs déploiements afin de limiter une nouvelle escalade pendant que la surveillance se poursuivait. (governance.aave.com)
Même avec cette réaction, les effets secondaires ont été immédiats : pics d'utilisation, ruée des utilisateurs pour retirer leurs fonds, et un coup de fouet narratif qui a ébranlé la confiance dans le prêt DeFi. (forbes.com)
3) « Aave n'a pas été exploité » – Alors, d'où venait la crise ?
C'est la leçon clé : un protocole de prêt peut être solvable au niveau des contrats intelligents et néanmoins faire face à une crise au niveau du collatéral.
Les contrats d'Aave ont fait ce pour quoi ils ont été conçus :
- accepter les actifs de collatéral approuvés,
- permettre l'emprunt dans les limites des paramètres configurés,
- liquider les positions sous-collatéralisées.
Mais si un actif de collatéral se déprécie à l'extérieur – parce que son pont, son émission, son adossement ou ses hypothèses de rachat échouent – alors les liquidations peuvent ne pas suffire à rétablir la solvabilité. C'est ainsi que se créent les créances douteuses (bad debt) sans qu'il y ait de bug dans Aave lui-même. (forbes.com)
Dans plusieurs estimations rapportées publiquement, le déficit a été évoqué dans une large fourchette (souvent autour de 177 à 200 millions de dollars), reflétant la rapidité des changements de positions et la difficulté d'évaluer un collatéral déprécié en cours d'incident. (forbes.com)
Pour les utilisateurs : les contrats intelligents « blue-chip » de la DeFi n'éliminent pas le risque lié aux actifs – en particulier pour le collatéral ponté ou dérivé.
4) Pourquoi les ponts et la messagerie inter-chaînes deviennent des risques systémiques récurrents
Les systèmes inter-chaînes n'ajoutent pas seulement « une dépendance supplémentaire ». Ils ajoutent une catégorie différente de dépendance : configuration, comités de vérification, bibliothèques de messages, exécuteurs et seuils de sécurité qui peuvent échouer d'une manière que les utilisateurs ne modélisent pas.
La documentation V2 de LayerZero met en évidence l'architecture principale : un Endpoint est le point d'entrée/sortie, et la livraison invoque finalement lzReceive sur l'application de destination après vérification. La pile de vérification repose sur des règles configurées et sur le comportement attendu des acteurs hors chaîne (par exemple, les DVN / exécuteurs). (docs.layerzero.network)
La réalité inconfortable est que de nombreux utilisateurs de la DeFi évaluent le collatéral comme suit :
- « C'est lié à l'ETH »
- « Ça génère du rendement »
- « C'est sur de gros protocoles »
- « C'est liquide »
… mais pas comme ceci :
- « Combien de validateurs indépendants sécurisent le chemin inter-chaînes ? »
- « Quels sont les modes de défaillance de l'adaptateur de pont ? »
- « L'actif peut-il être mis en pause, mis sur liste noire ou gelé sur plusieurs chaînes ? »
- « Le protocole dispose-t-il de hooks fiables pour la preuve de réserve / preuve d'adossement ? »
Cet écart dans la diligence raisonnable des utilisateurs (et parfois de la gouvernance) est la raison pour laquelle des incidents comme celui-ci deviennent systémiques plutôt qu'isolés. (governance.aave.com)
5) Le « moment de vérité » pour la gouvernance d'Aave : le risque de cotation, pas le risque de code
La discussion au sein de la communauté Aave s'est rapidement orientée vers des questions difficiles qui vont au-delà de la réponse à l'incident :
5.1 Les LRT sont-ils des collatéraux adaptés – à grande échelle ?
Les jetons de restaking liquide peuvent être des actifs productifs, mais ce sont aussi des produits à risques empilés :
- risque de contrat intelligent,
- risque d'oracle,
- risque de rachat / de file d'attente,
- risque de gouvernance,
- et souvent risque de pont / de messagerie.
Si une couche échoue, la qualité du collatéral peut s'effondrer plus rapidement que les systèmes de liquidation ne peuvent réagir. (governance.aave.com)
5.2 Les plafonds et paramètres sont-ils suffisamment conservateurs ?
Un thème récurrent dans le fil de discussion de la gouvernance Aave portait sur la paramétrisation : plafonds de dépôt, plafonds d'emprunt, LTV (Loan-to-Value), et si la gouvernance a agi trop agressivement en intégrant des actifs complexes. (governance.aave.com)
5.3 Les humains peuvent-ils réagir à la « vitesse du mempool » ?
Le Gardien d'Aave et les processus de sécurité ont agi rapidement – mais le débat communautaire a néanmoins mis en évidence le fossé entre le temps de réaction humain et la vitesse d'exécution adverse, favorisant des idées telles que des agents de risque automatisés, des limites d'emprunt pondérées par le temps ou des disjoncteurs par actif qui se déclenchent sans coordination manuelle. (governance.aave.com)
6) Un contexte important : rsETH avait eu un avertissement préalable en 2025
Ce n'était pas la première fois que rsETH apparaissait dans les communications de risque d'Aave.
Le 30 avril 2025, la gouvernance d'Aave a discuté d'un gel préventif lié à un bug dans l'infrastructure du contrat intelligent de rsETH qui avait causé une sur-émission inattendue sous un chemin logique privilégié. Aave avait déclaré que le protocole n'avait pas été affecté à l'époque, et avait détaillé comment une logique de protection (y compris un comportement de disjoncteur autour des mises à jour du taux d'échange) avait contribué à prévenir des dommages plus importants. (governance.aave.com)
L'incident de 2026 était différent en forme et en gravité, mais le fil conducteur est clair : lorsque le collatéral est complexe, les « cas limites » ne sont pas des cas limites – ils constituent la principale surface de risque. (governance.aave.com)
7) Ce que les utilisateurs devraient retenir (concrètement, pas théoriquement)
Si vous prêtez sur les marchés monétaires DeFi
- Considérez les « listes de collatéraux de haute qualité » comme un point de départ, pas une garantie.
- Suivez les canaux de gouvernance/risque pour les gels et les changements de paramètres (les fils de discussion de la gouvernance d'Aave sont souvent le signal canonique le plus rapide).
- Surveillez l'utilisation et les conditions de retrait pendant les incidents ; la liquidité peut se raréfier même sans piratage direct du protocole. (governance.aave.com)
Si vous empruntez contre des dérivés ETH générateurs de rendement
- Évitez la sur-optimisation de l'effet de levier sur les dérivés pontés ; le chemin de liquidation peut échouer si la tarification du collatéral ou sa transférabilité est compromise.
- Privilégiez les collatéraux dont l'adossement peut être vérifié indépendamment et dont les modes de défaillance sont compris. (support.token.im)
Si vous détenez des LRT / actifs pontés à long terme
- Séparez le « risque de marché » du « risque de mécanisme ». Le rendement n'est pas une compensation pour des hypothèses inter-chaînes inconnues.
- Posez-vous la question : Si le pont s'arrête, puis-je encore sortir ? Si la pile de messages est attaquée, qu'est-ce qui deviendrait non adossé ? (docs.layerzero.network)
8) La place de OneKey dans cette discussion (et où elle n'en a pas)
Un portefeuille matériel n'arrêtera pas un effondrement du collatéral ni n'empêchera la création de créances douteuses sur un marché de prêt. Mais il aborde un autre mode de défaillance qui tend à s'intensifier lors d'événements de forte volatilité : la sécurité des clés côté utilisateur et l'hygiène des transactions.
Si vous interagissez activement avec la DeFi (approvisionnement, emprunt, ajustement de collatéral, signature d'autorisations), l'utilisation de OneKey peut vous aider à :
- garder les clés privées isolées des ordinateurs/navigateurs potentiellement compromis,
- examiner et confirmer les transactions sur un appareil dédié,
- réduire la probabilité que des actions prises dans la panique ne se transforment en événements de perte de clé irréversibles.
Le principe clé est la séparation des préoccupations : le risque de gestion du protocole relève de la gouvernance et de l'ingénierie des contrats intelligents ; la sécurité de la conservation personnelle relève de la discipline opérationnelle. Durant des semaines comme celle du 18 avril 2026, vous avez besoin des deux.
Lectures complémentaires (points de départ faisant autorité)
- Gouvernance Aave : « Incident rsETH — 18/04/2026 » (governance.aave.com)
- Gouvernance Aave (contexte historique) : « Gel préventif rsETH 30/04/2025 » (governance.aave.com)
- Documentation LayerZero (architecture et modèle de livraison) : Architecture du Protocole LayerZero (V2) (docs.layerzero.network)
- Documentation LayerZero (flux d'intégration et de réception) : Checklist d'Intégration (EndpointV2 →
lzReceive) (docs.layerzero.network) - Contexte TVL et marché : Aave sur DeFiLlama (defillama.com)
- Instantané de report de haut niveau (impact marché et mécanique) : Couverture de Forbes sur l'incident (forbes.com)
- Reportage sur les négociations / chronologie de la réponse : Résumé de Yahoo Finance (finance.yahoo.com)
