Actualités Crypto

Le hack DeFi de 290 millions de dollars qui ébranle le prêtage décentralisé

By Jean-Philippe Wolf

Share

Le hack DeFi de 290 millions de dollars qui ébranle le prêtage décentralisé

Le 18 avril 2026, un pirate a détourné environ 290 millions de dollars en rsETH auprès de KelpDAO, un protocole de restaking liquid Tokens basé sur Ethereum. L’attaque, menée via une faille dans la configuration du pont cross-chain LayerZero, a déclenché une crise de liquidité sans précédent sur Aave et l’ensemble de l’écosystème du prêtage décentralisé. En moins de 48 heures, plus de 13 milliards de dollars se sont évaporés de la DeFi, faisant de cet incident le plus important piratage crypto de l’année 2026. Cette affaire s’ajoute à une liste déjà fournie de piratages massifs survenus au cours du mois d’avril, marquant un tournant critique pour la sécurité du secteur.

Le hack DeFi de 290 millions qui ebranle le pretage decentralise

Contexte

Le restaking liquid Token (LRT) est une catégorie d’actifs numériques apparue au cours des deux dernières années. Elle permet aux détenteurs d’ether de miser leur ETH sur la couche de consensus d’Ethereum tout en restakant ces tokens sur des réseaux de deuxième couche (L2), afin de générer des rendements supplémentaires. KelpDAO, l’un des principaux acteurs de ce secteur, émet le rsETH (restaked ETH), un token qui circule sur une vingtaine de blockchains grâce à un pont omnichain construit avec l’infrastructure de LayerZero.

Le mécanisme repose sur un système de vérificateurs décentralisés (DVN, Decentralized Verifier Networks). Lorsqu’un utilisateur souhaite transférer des rsETH d’une blockchain à une autre, une série de DVN doit attester l’authenticité du message avant que les fonds ne soient libérés. Chaque protocole choisit combien de vérificateurs doivent signer. KelpDAO avait configuré son pont avec une seule entité vérificatrice : LayerZero Labs lui-même. C’est précisément sur cette configuration minimaliste que les attaquants ont appuyé.

Cette architecture s’inscrit dans un mouvement plus large de fragmentation de l’écosystème blockchain. Les protocoles de finance décentralisée cherchent constamment à étendre leur portée au-delà d’une seule chaîne, ce qui les pousse à s’appuyer sur des solutions d’interopérabilité tierces. LayerZero s’est imposé comme l’un des acteurs majeurs de ce domaine, avec des milliers de déploiements à travers l’écosystème crypto. Cependant, la flexibilité de son système de configuration laisse une marge importante à des choix de sécurité potentiellement dangereux.

Le choix d’une configuration à un seul vérificateur (1-of-1 DVN) n’est pas rare dans l’industrie. Pour des raisons de coût et de simplicité opérationnelle, de nombreux projets optent pour ce type de configuration minimale, estimant que la réputation de l’opérateur du nœud unique suffit à garantir la sécurité. Cette approche, désormais questionnée par l’incident KelpDAO, illustre un décalage entre les promesses de sécurité modulaire et la réalité opérationnelle des ponts cross-chain.

Les faits

Selon le rapport d’incident publié par KelpDAO le 20 avril 2026, l’attaque a eu lieu à 17h35 UTC le samedi 18 avril. L’assaillant a envoyé un paquet LayerZero falsifié, prétendant provenir du réseau Unichain (la couche 2 développée par Uniswap). Le pont rsETH a libéré 116 500 rsETH — représentant environ 18 % de l’offre totale — vers une adresse contrôlée par le pirate sur Ethereum mainnet. Deux tentatives de retrait supplémentaires ont été bloquées quarante-six minutes plus tard, lorsque KelpDAO a suspendu ses contrats.

Le montant total détourné est estimé entre 290 et 293 millions de dollars par les principales sources du secteur, dont Bloomberg et le Bank Policy Institute. Galaxy Research évalue le volume exact à 116 500 rsETH, l’équivalent d’environ 292 millions de dollars au cours de l’époque. L’attribution préliminaire revient au groupe Lazarus, une unité de piratage sponsorisée par l’État nord-coréen, également suspectée d’avoir orchestré le vol de 285 millions de dollars sur Drift Protocol le 1er avril 2026.

Plutôt que de revendre immédiatement les tokens sur des échanges décentralisés (DEX), ce qui aurait fait chuter le prix du rsETH, l’attaquant a utilisé les fonds volés comme garantie pour emprunter massivement sur plusieurs protocoles de prêt. Sur Aave, Compound et Euler, environ 236 millions de dollars ont été empruntés en WETH et wstETH contre le rsETH volé. Les actifs empruntés ont ensuite été swappés contre de l’ETH, consolidés dans le portefeuille de l’assaillant : 75 700 ETH sur Ethereum et 30 765 ETH sur Arbitrum.

Le mécanisme précis de l’attaque a été qualifié par LayerZero de  » poisoning RPC  » (intoxication des nœuds RPC). Les attaquants ont d’abord corrompu deux nœuds RPC en aval dont dépendait le DVN pour vérifier l’état de la blockchain source. Ensuite, ils ont lancé une attaque par déni de service (DDoS) sur les autres nœuds RPC non compromis, forçant le DVN à basculer sur les nœuds empoisonnés qui transmettaient de fausses données. Cette méthode permettait de rendre l’attaque invisible aux systèmes de surveillance de LayerZero.

L’ampleur de l’incident a été immédiate sur les marchés. Le token rsETH a connu une chute vertigineuse de sa valeur, entraînant avec lui l’ensemble des positions garanties par ce token sur les principaux protocoles de prêt. Les positions des utilisateurs d’Aave utilisant le rsETH comme garantie ont immédiatement été menacées de liquidation, dans un contexte où les prix de l’ether étaient également sous pression.

Analyse

L’incident de KelpDAO soulève des questions fondamentales sur la sécurité des architectures cross-chain dans la finance décentralisée.  » Le problème ne vient pas du protocole LayerZero lui-même, ni d’une faille dans les contrats intelligents. C’est une erreur de configuration qui est désormais un cas d’école « , a résumé un développeur anonyme sur le réseau social X. Un autre analyste, sous le pseudonyme Fishy Catfish, a illustré le danger avec une analogie parlante :  » C’est comme si un fabricant de montagnes russes laissait chaque parc d’attractions décider individuellement de ses normes de sécurité minimales. « 

La flexibilité des systèmes de sécurité modulaires, saluée comme une avancée, devient ainsi une faille lorsqu’elle permet à des projets de fonctionner avec des configurations à un seul vérificateur. Avec une configuration 1-of-1 DVN, un unique nœud opéré par une seule entité suffit pour autoriser le transfert de fonds massifs. La communauté technique réclame désormais un socle de sécurité minimal natif en dessous duquel aucun projet ne devrait pouvoir descendre.

Autre point critique : le fonds d’assurance d’Aave s’est révélé largement insuffisant face à l’ampleur des pertes potentielles. D’après les données du Bank Policy Institute et de Finance Feeds, le fonds de sécurité d’Aave était évalué entre 80 et 100 millions de dollars, alors que l’exposition aux pertes dépassait les 200 millions de dollars. Cette inadéquation a déclenché un mouvement de panique chez les prêteurs, qui ont commencé à retirer leurs ETH dans un délai record.

Le choix d’Aave d’intégrer le rsETH comme garantie pour des prêts en mode ETH (E-Mode) avec un ratio prêt/valeur (LTV) de 93 % — contre 72 % pour SparkLend — a amplifié l’exposition du protocole. Cette décision, prise en janvier 2026, a permis aux utilisateurs de multiplier leurs positions en utilisant le rsETH comme collatéral pour des emprunts en ether avec un effet de levier significatif. Lorsque le rsETH s’est effondré, les positions ont été arrastées vers des liquidations partielles ou complètes, aggravant les pertes pour les prêteurs restés dans le protocole.

Il convient également de souligner que cet incident s’inscrit dans un mois d’avril particulièrement meurtrier pour la DeFi. Le 1er avril, Drift Protocol — un protocole de perpétuels basé sur Solana — avait déjà perdu 285 millions de dollars dans une attaque liée à des acteurs affiliés à la Corée du Nord. Ces deux incidents représentent collectivement près de 575 millions de dollars volés en dix-huit jours par une même entité étatique, via deux vecteurs d’attaque structurellement différents, dont aucun n’impliquait une faille de contrat intelligent.

Réactions du marché

Les chiffres de DefiLlama sont sans appel. Le montant total verrouillé (TVL) d’Aave est passé de 26,4 milliards de dollars le 18 avril à moins de 20 milliards de dollars en quelques heures, le dimanche matin 19 avril. Environ 5,4 milliards de dollars d’ETH et WETH ont quitté Aave en une seule journée. Le token AAVE a simultanément perdu plus de 18 % de sa valeur, aggravant encore la crise de confiance.

Sur les marchés de stablecoins, la situation a atteint un point de rupture. Les pools USDT et USDC sur Aave ont atteint 100 % d’utilisation, signifiant qu’aucune liquidité n’est désormais disponible pour les retraits. Quelque 5,1 milliards de dollars de dépôts en stablecoins sont désormais soumis à des restrictions de retrait à travers le protocole. Les déposants ont vendu d’autres actifs pour acquérir des stablecoins qu’ils ont ensuite retirés massivement, épuisant les réserves.

La contagion s’est propagée bien au-delà des protocoles directement exposés au rsETH. Morpho, Sky et JupLend ont tous enregistré des sorties nettes significatives malgré une exposition nulle ou minimale à l’incident. Le phénomène de  » bank run  » décentralisé a touché l’ensemble de l’écosystème DeFi, avec une perte cumulée de TVL d’environ 15 milliards de dollars depuis l’exploitation, selon BeInCrypto.

Les réactions sur les réseaux sociaux ont été vives. Un post largement partagé a capturé le changement de sentiment de manière particulièrement brutale :  » DeFi est mort… ‘utilisez juste Aave’ est mort « , tandis qu’un autre demandait sans détour :  » Si vous lisez ceci — pourquoi êtes-vous encore en crypto ?  » Ces réactions, bien qu’extrêmes, reflètent un ras-le-bol croissant face à une industrie incapable de protéger les fonds de ses utilisateurs malgré des années de développement.

Perspectives

Plusieurs scénarios de résolution sont actuellement modélisés par les fournisseurs de services d’Aave. Dans le premier scénario, la socialisation uniforme des pertes applique une décote de 15,12 % sur l’ensemble des détenteurs de rsETH, générant environ 123,7 millions de dollars de dette irrécouvrable sur Aave V3, concentrée à 91,8 millions de dollars sur Ethereum Core. Dans le deuxième scénario, où les pertes sont isolées aux détenteurs de rsETH sur les couches 2 (L2), la dette irrécouvrable pourrait atteindre 230,1 millions de dollars.

Le Conseil de sécurité d’Arbitrum a pris des mesures d’urgence lundi soir, gelant 30 766 ETH détenus sur Arbitrum et les transférant vers un portefeuille intermédiaire qui ne peut agir que par l’intermédiaire d’une gouvernance. Cette décision visait à empêcher l’assaillant de blanchir les fonds volés. En réponse, le portefeuille de l’attaquant a commencé à transférer des fonds vers de nouvelles adresses, tentant de brouiller les pistes. Aave a rouvert les marchés WETH sur Ethereum Core le mardi matin, mais ceux-ci restent à 100 % d’utilisation.

Pour les investisseurs, cet incident rappelle que les rendements élevés du prêtage décentralisé s’accompagnent de risques systémiques sous-estimés. La combinaison de tokens à effet de levier, de prêteurs centralisés et d’infrastructures cross-chain crée des chaînes de dépendance dont la rupture peut être soudaine et dévastatrice. Les experts recommandent désormais de diversifier les protocoles de prêt utilisés et de surveiller en temps réel les configurations de sécurité des ponts cross-chain utilisés par les protocoles dans lesquels les fonds sont déposés.

À plus long terme, l’incident KelpDAO pourrait accélérer la mise en place de normes de sécurité minimales pour les configurations DVN à travers l’industrie. LayerZero a déjà annoncé qu’il ne signerait plus ni n’attesterait de messages provenant d’applications fonctionnant avec une configuration DVN 1-of-1. Cette décision marque un changement significatif dans l’approche de la sécurité pour les infrastructures cross-chain, potentiellement le début d’une ère de standardisation plus stricte.

Au-delà des implications techniques et financières, cet incident pose la question de la responsabilité dans un écosystème décentralisé. Quando un protocole comme KelpDAO est exploité, les utilisateurs qui ont fait confiance au système se retrouvent avec des pertes sans recours évident. Les mécanismes de gouvernance d’Aave devront trancher entre socialisation des pertes et isolation des risques, avec des conséquences directes pour les détenteurs de rsETH et les prêteurs en général.

Les audits de sécurité, longtemps considérés comme une garantie de confiance, sont également mis en cause. KelpDAO avait passé plusieurs audits de smart contracts avant son lancement, et pourtant la configuration du pont cross-chain n’était pas couverte par ces audits. Cette zone grise entre sécurité des contrats et sécurité des configurations opérationnelles representa l’une des principales failles identifiées par l’industrie après cet incident.

Sources

Jean-Philippe Wolf
Jean-Philippe Wolfhttp://cryptoinfo.ch

Contenu [hide]

Lire la Suite

Articles