Le plus grand vol DeFi de 2026, un hacker vole tout et profite de l'occasion pour piéger Aave

Le 18 avril à 17h35 UTC, un portefeuille lavé via Tornado Cash a envoyé un message cross-chain à un contrat EndpointV2 de LayerZero.

Ce message a une signification très simple : un utilisateur sur une chaîne souhaite ramener du rsETH vers le réseau principal Ethereum. Selon la conception du protocole, LayerZero a fidèlement transmis l’instruction. Le contrat de pont Kelp DAO déployé sur le réseau principal a également, conformément à la conception, exécuté fidèlement la libération.

116 500 rsETH, évalués à environ 292 millions de dollars au prix du moment, ont été transférés en une seule transaction vers une adresse contrôlée par l’attaquant.

Le problème, c’est qu’aucune personne n’a jamais déposé cette somme de rsETH sur une autre chaîne. Cette “demande cross-chain” a été falsifiée de toutes pièces, LayerZero y a cru, et le pont de Kelp aussi.

46 minutes plus tard, le multisignature d’urgence de Kelp a appuyé sur le bouton de pause. À ce moment-là, l’attaquant avait déjà effectué la seconde moitié de l’opération : il avait mis en gage le rsETH volé, qui n’avait plus de véritable ancrage, dans Aave V3, et emprunté environ 236 millions de dollars en wETH.

C’est la plus grande attaque DeFi depuis 2026, dépassant de plusieurs centaines de milliers de dollars le précédent record de Drift, attaqué par un hacker avec des liens avec la Corée du Nord le 1er avril. Mais ce qui glace vraiment le dos de l’industrie, ce n’est pas seulement le montant.

Comment l’attaque s’est-elle produite : trois tentatives entre 17h35 et 18h28

Reprenons la chronologie.

17h35 UTC, premier succès. L’attaquant a appelé la fonction lzReceive du contrat EndpointV2 de LayerZero, depuis un portefeuille financé par Tornado Cash, et a envoyé un faux paquet de données cross-chain au contrat de pont Kelp. La vérification a réussi, et 116 500 rsETH ont été libérés vers l’adresse de l’attaquant. En une seule transaction. Propre.

18h21 UTC, le multisignature d’urgence de Kelp a gelé les contrats principaux de rsETH sur le réseau principal et plusieurs L2. À 46 minutes de l’attaque.

18h26 et 18h28 UTC, l’attaquant a lancé deux autres tentatives, chacune avec un paquet LayerZero tentant de retirer encore 40 000 rsETH (environ 100 millions de dollars). Les deux ont été revert, les contrats étant gelés, mais l’attaquant semble continuer à essayer de siphonner la liquidité restante.

De la première réussite à la déclaration publique de Kelp, il s’est écoulé près de trois heures.

Le premier tweet officiel de Kelp n’a été publié qu’à 20h10 UTC, avec un ton très mesuré : ils ont détecté une activité suspecte de cross-chain impliquant rsETH, ont suspendu les contrats rsETH sur le réseau principal et plusieurs L2, et travaillent avec LayerZero, Unichain, des auditeurs et des experts en sécurité externes pour analyser la cause.

Mais la conclusion, avant même la déclaration officielle, a été donnée par ZachXBT, un détective on-chain, qui a publié dans son canal Telegram, avant 15h heure de New York, une alerte listant six adresses de portefeuilles liées au vol, et indiquant que ces portefeuilles avaient tous préparé leurs fonds via Tornado Cash avant de passer à l’action. Il n’a pas nommé Kelp DAO, mais les analystes on-chain ont rapidement relié ces adresses.

Il s’agit d’une opération préméditée, exécutée en quelques minutes. Portefeuilles préchargés avec de l’argent lavé, paquets cross-chain soigneusement construits, actions successives d’attaque et de mise en gage sur Aave — chaque étape semblait rythmée comme par un métronome.

Après le vol, une nouvelle arnaque

Si l’on se limite à une faille de pont simple, voler 116 500 rsETH puis s’enfuir, cela ne serait qu’un gros incident de 2026. Kelp assumera la perte, la communauté digérera quelques jours, et l’industrie continuera d’avancer.

Mais l’attaquant a clairement fait ses comptes. La liquidité secondaire de rsETH n’est pas abondante : déverser 292 millions de dollars sur un DEX pour tout vendre provoquerait une forte glissade, mangeant une partie importante du profit. Une sortie plus élégante aurait été de transformer cette somme “obtenue de nulle part” en une collatéralisation apparemment solide, puis de l’utiliser dans des protocoles de prêt pour emprunter des actifs réellement liquides.

L’attaquant a donc effectué une deuxième étape : il a déposé le rsETH volé dans Aave V3 en tant que collatéral, et a emprunté une grosse quantité de wETH.

Pourquoi cette étape est-elle fatale ? Parce qu’à ce moment-là, le contrat Aave utilisait encore le prix de l’oracle rsETH pour valoriser la garantie, alors que la réserve dans le pont avait été vidée. La valeur économique de ce rsETH n’existe plus en réalité. Le protocole de prêt continue de distribuer des fonds en se basant sur une valeur “100% en or”, mais la garantie est une promesse sans valeur.

Le résultat : l’attaquant a transféré le risque de liquidation à la réserve de wETH d’Aave.

La réserve de wETH d’Aave V3 est en train d’absorber la créance douteuse. Le développeur Solidity et auditeur 0xQuit a alerté sur X que la réserve wETH est déjà endommagée, et que certains retraits ne pourront être possibles qu’après que le module de secours d’Aave, Umbrella, aura comblé le déficit.

L’estimation du montant de la créance douteuse tourne autour de 177 millions de dollars, et ce n’est que pour la side Ethereum.

Une première grande épreuve annoncée

Pour les vétérans de la DeFi, cette séquence évoque un déjà-vu : lors du crash de Luna en 2022, le module de sécurité d’Aave V2 avait joué un rôle similaire.

Mais cette fois, c’est Umbrella qui est en scène. Aave a lancé fin 2025 une nouvelle génération de système de secours, pour remplacer l’ancien module de sécurité. Cet incident constitue la première grosse épreuve pour le mécanisme automatique de couverture des créances d’Umbrella.

Le principe d’Umbrella est simple : déposer des aTokens comme aWETH, aUSDC, GHO dans une assurance Umbrella, qui génère des incitations supplémentaires. En cas de déficit du pool d’actifs, cette mise en gage est sujette à une réduction proportionnelle (slashing), pour couvrir le trou.

Ce design est très élégant sur le papier : lors du premier mois d’exploitation d’Aave v3.3, le déficit total du pool s’élevait à environ 400 dollars, sur près de 9,5 milliards de dollars de prêts en cours, un ratio négligeable.

Mais 177 millions de dollars de créances douteuses, c’est une autre dimension. Pour les utilisateurs qui ont déposé des aWETH dans Umbrella, c’est la première fois qu’ils ressentent concrètement le poids du “risque de slashing”. La déclaration officielle d’Aave est prudente : en cas de créance irrécouvrable, ils envisagent d’utiliser les actifs d’Umbrella pour couvrir tout déficit. Mais la couverture totale, le taux de slashing, la perte en capital des déposants — tout cela ne pourra être précisé qu’après clôture des comptes.

Le péché originel des ponts cross-chain

Ce qui est encore plus inquiétant, c’est l’identité de ces rsETH volés.

Ils sont déployés sur plus de 20 réseaux, dont Base, Arbitrum, Linea, Blast, Mantle, Scroll, et autres, avec un transfert cross-chain assuré par le standard OFT de LayerZero. La réserve de rsETH dans le pont vidé est précisément ce qui supporte toutes ces versions “wrapped” de rsETH sur ces réseaux.

Ce design paraît très classique : le coffre principal détient une réserve 1:1, et les détenteurs de rsETH sur L2 peuvent théoriquement la ramener sur le réseau principal à tout moment. Mais cette mécanique repose sur une condition essentielle : que le coffre principal ait réellement de l’argent.

Or, il est vide à 82%. Sur la totalité de l’offre de rsETH en circulation chez Kelp, environ 18% ont perdu leur réserve correspondante du jour au lendemain.

Cela crée une boucle de rétroaction : si les détenteurs sur L2 paniquent et demandent à retirer, cela exercera une pression sur l’offre sur Ethereum, qui pourrait forcer Kelp à désengager ses positions de re-staking pour satisfaire les retraits.

Désengager le re-staking n’est pas une opération instantanée. La révocation sur EigenLayer a un délai, et la sortie des validateurs sous-jacents nécessite une mise en file d’attente. Si tous les détenteurs de rsETH sur L2 se précipitent pour retirer en même temps, Kelp pourrait ne pas avoir le temps de préparer la capacité de remboursement sur le réseau principal.

C’est un risque fondamental du modèle de réserve de pont : si le réseau principal a un problème, toute la pression en aval s’effondre. Chaque détenteur de rsETH sur L2 doit faire un choix : partir en premier ou faire confiance à Kelp pour couvrir.

La panique a balayé en quelques heures tout le secteur du prêt décentralisé.

Les marchés de rsETH sur Aave V3 et V4 sont gelés, nouveaux dépôts et emprunts basés sur rsETH sont suspendus.

SparkLend, Fluid ont aussi gelé leurs marchés rsETH.

Ethena, bien qu’affirmant ne pas avoir d’exposition directe à rsETH et maintenant une sur-collatéralisation de plus de 101%, a suspendu par précaution le pont LayerZero OFT depuis Ethereum, pour environ six heures — une réaction très révélatrice : même des acteurs sans exposition directe arrêtent leurs ponts LayerZero.

Lido Finance a suspendu ses dépôts sur earnETH (qui comporte une exposition rsETH), tout en précisant que stETH et wstETH ne sont pas affectés, et que leur protocole principal de staking n’est pas impliqué dans cet incident.

Upshift a suspendu les dépôts et retraits dans ses coffres High Growth ETH et Kelp Gain.

La liste s’allonge.

Commentaire de Deep Tide : La sécurité de la DeFi, un chemin semé d’embûches

Au moment de la rédaction, l’analyse des causes par Kelp DAO est toujours en cours. Combien de rsETH volés pourront être récupérés via la négociation avec des équipes de sécurité ou des white-hats ? L’Umbrella d’Aave pourra-t-elle résister à cette créance douteuse ? Les détenteurs de rsETH sur L2 vont-ils provoquer une crise de liquidité ? Le prix de l’AAVE et du rsETH pourra-t-il se stabiliser avant la fin du week-end ?

Mais certains problèmes ont déjà émergé.

Par exemple, la question de savoir si le LRT (Liquid Restaking Token) peut continuer à être considéré comme une garantie admissible dans les protocoles de prêt ?

Le Liquid Restaking Token, ou LRT, a été la star de l’écosystème Ethereum lors du dernier cycle. EigenLayer a lancé la narration “un ETH pour plusieurs couches de revenus”, et Kelp, ether.fi, Puffer, etc., ont industrialisé cette idée. Le résultat final : le LRT a été intégré dans la liste blanche des collatéraux admissibles par plusieurs protocoles de prêt.

Cette décision repose sur une hypothèse : que le mécanisme d’ancrage du LRT est suffisamment robuste, et que le risque de nesting (imbriquement multiple) des actifs sous-jacents peut être modélisé et isolé par des smart contracts.

L’incident de Kelp a brisé cette hypothèse en une après-midi. Le risque du LRT ne vient pas seulement du smart contract sous-jacent, mais aussi de son architecture de distribution cross-chain ; pas seulement d’un seul protocole, mais de chaque dépendance entre lui, EigenLayer, LayerZero, Aave. Chaque pièce de Lego DeFi semble sûre isolément, mais leur assemblage forme un puzzle dont le risque se multiplie, pas s’additionne.

Dans les mois à venir, tous les protocoles de prêt qui maintiennent le LRT comme collatéral de haut niveau devront réévaluer leurs paramètres de risque. Limites d’offre, marges de liquidation, tout sera ajusté, et certains protocoles pourraient retirer le LRT de leur liste blanche.

La barrière de la DeFi, souvent vantée comme “la composabilité”, doit être revue : cette fois, la composabilité est une épée à double tranchant. La force du réseau, qui est aussi sa faiblesse, peut devenir un amplificateur en cas d’attaque.

L’attaquant avait déjà prévu sa sortie. Il ne s’agissait pas seulement de voler, mais d’utiliser la nature même de la DeFi comme arme. Plus la dépendance entre protocoles est forte, plus la surface d’attaque s’élargit, et plus l’attaquant peut mobiliser de Lego financiers pour ses opérations.

La sécurité de la DeFi reste un défi de taille.