Ce qui a commencé comme l'exploit de Kelp DAO n'est plus seulement une histoire de pont, mais est désormais un référendum crypto sur la manière dont la DeFi gère la sécurité, la contagion et la responsabilité.
Les dégâts immédiats étaient déjà importants. L'exploit d'environ 292 millions de dollars a touché le pont rsETH de Kelp DAO, a déclenché des inquiétudes concernant les créances douteuses chez Aave et a provoqué une nouvelle vague de reproches entre les protocoles et les fournisseurs d'infrastructure.
La réaction du marché a été brutale. Les analystes on-chain de Lookonchain ont déclaré que la valeur totale verrouillée d'Aave a chuté de près de 8 milliards de dollars après que l'attaquant a utilisé des actifs liés à Kelp DAO volés comme garantie, laissant environ 195 millions de dollars de créances douteuses.
Les données de The Block montrent maintenant que la TVL d'Aave a subi une forte baisse sur 48 heures, les fonds ayant été transférés ailleurs, notamment vers Spark.
Agrandir le graphique
The Block a rapporté plus tard qu'Aave avait modélisé deux scénarios possibles de créances douteuses liés aux conséquences.
Pendant ce temps, les fonds volés lors de l'exploit ont commencé à circuler entre les chaînes après qu'Arbitrum a gelé une grande partie de l'ETH liée.
Une question aiguë circule maintenant dans l'industrie, non pas de savoir si la DeFi fonctionne toujours, mais quels types de risques elle tolère encore en 2026.
Le fondateur de Curve, Michael Egorov, l'a dit sans détour. « WTF ? Sommes-nous une industrie de clowns ? » a-t-il écrit sur X, arguant que les récentes défaillances liées à des points de défaillance centralisés nuisent à une industrie qui prétend toujours construire l'avenir de la finance.
Son argument plus large fait mouche. La brèche de Kelp n'a pas seulement touché un protocole, elle s'est propagée par la composabilité.
Une seule défaillance de pont s'est transformée en risque de garantie multiprotocole. Le risque de garantie s'est transformé en stress de prêt. Le stress de prêt s'est transformé en retraits. Dans la DeFi, le code peut être modulaire, mais la panique est partagée.
Wenzhao Dong, analyste blockchain chez CertiK, a déclaré à The Block que le problème n'est pas que la DeFi est intrinsèquement défectueuse. C'est plutôt que trop d'équipes considèrent encore la sécurité comme une charge.
« Les protocoles qui survivront au prochain cycle seront ceux qui considèrent la sécurité comme la finance traditionnelle considère le risque de contrepartie – comme un facteur crucial, et non comme une considération secondaire », a déclaré Dong.
Brian Trunzo, directeur de la croissance chez Succinct Labs, a partagé un point de vue similaire. Il a déclaré que les ponts ne devraient plus s'appuyer sur des modèles de validateurs fortement basés sur la confiance lorsque des systèmes basés sur la preuve existent.
Selon lui, l'exploit de Kelp était une défaillance dans la couche de vérification du pont, et non un bogue typique de contrat intelligent, et cela a montré à quel point les hypothèses de signataire unique restent dangereuses.
« À ce stade, si votre modèle de confiance est inférieur à ZK, vous faites preuve d'une négligence grave. Peut-être même d'une imprudence », a déclaré Trunzo à The Block.
D'autres ont poussé la critique plus loin.
Sergej Kunz, co-fondateur de 1inch, a déclaré que l'épisode a montré à quel point le modèle de pool partagé peut devenir fragile lorsqu'un mauvais actif entraîne une utilisation complète et piège efficacement les fonds des utilisateurs. Matthew Pinnock, COO d'Altura DeFi, a ajouté que la vitesse des retraits a montré à quelle vitesse la confiance peut s'effriter une fois que les hypothèses de garantie s'effondrent.
Pourtant, tout le monde n'est pas devenu plus baissier.
Taylor Monahan, expert en sécurité chez Metamask, a qualifié le gel d'urgence d'ETH volé par Arbitrum de signe que « la DeFi gagne putain », saluant la coordination nécessaire pour arrêter davantage de dégâts.
Haseeb Qureshi de Dragonfly a déclaré que la DeFi a toujours appris de ses échecs, comparant le moment actuel à des crises antérieures telles que Terra, les pannes d'enchères de mars 2020 et le dépeg de stETH. Erik Voorhees a fait une observation similaire à partir des premiers principes : dans la crypto, a-t-il soutenu, les échecs restent proches de la source au lieu d'être socialisés à travers la société comme c'est souvent le cas dans la finance traditionnelle.
Une perspective légèrement différente a été proposée par Neil May, PDG de defi.com. S'adressant à The Block, May a supposé que la faiblesse de la DeFi n'est pas seulement technique, mais aussi expérientielle. Les utilisateurs sont encore censés comprendre trop de choses, s'exposer trop et se rétablir trop mal lorsque les choses tournent mal.
« Les gens doivent comprendre ce qu'ils signent, limiter ce à quoi ils s'exposent et avoir un chemin de récupération clair lorsque les choses tournent mal. C'est simplement le niveau d'entreprise qui manque dans la DeFi aujourd'hui », a déclaré May. « Les produits qui gagneront la confiance du grand public seront ceux qui rendront la sécurité invisible, et non ceux qui demandent aux utilisateurs d'être leur propre équipe de sécurité. »
Pour certains, cela pourrait être l'enseignement le plus important de l'incident de Kelp.
L'exploit a ravivé un vieil argument de la DeFi concernant la décentralisation contre la commodité, mais il a également mis en lumière un argument plus récent : la sécurité ne s'arrête plus aux contrats d'un protocole.
Un marché de prêt peut être sain en soi et être néanmoins touché par un pont en amont.
Un pont peut se dire décentralisé et dépendre néanmoins d'un maillon faible.
Un gel d'urgence peut sauver des fonds et rouvrir néanmoins des questions inconfortables sur la gouvernance et l'intervention.
Lukas Schor, président de la Safe Ecosystem Foundation, a déclaré à The Block que le schéma plus large est plus important que le jeu de la faute sur qui comblera finalement le trou d'Aave.
Les acteurs liés à Lazarus, a-t-il dit, ont accéléré la cadence des attaques ce mois-ci, tandis que l'IA commence à amplifier les risques de reconnaissance et d'ingénierie sociale.
Selon Schor, l'industrie de la DeFi fait face à un adversaire de niveau étatique dont les défenses sont encore conçues pour une ère plus douce.
« Ce qui est clair maintenant, c'est que même les protocoles DeFi les plus établis sont une cible », a-t-il déclaré à The Block. « La cybersécurité a toujours été un jeu du chat et de la souris. Mais il est clair qu'en tant qu'industrie, nous devons renforcer nos défenses. Sinon, la confiance dans la DeFi sera très rapidement et irrémédiablement érodée. »
Il a postulé que c'est précisément la raison pour laquelle les chiffres comptent au-delà des gros titres. The Block a rapporté plus tôt cette semaine que les pertes de la DeFi avaient déjà dépassé 600 millions de dollars en quelques semaines seulement. Ajoutez à cela l'exploit de Drift d'environ 285 millions de dollars et l'estimation révisée des pertes d'Hyperbridge de 2,5 millions de dollars, et avril s'annonce comme un autre mois qui obligera le secteur à répondre à des questions difficiles sur les hypothèses de confiance et la discipline opérationnelle.
Avertissement : The Block est un média indépendant qui fournit des actualités, des recherches et des données. Depuis novembre 2023, Foresight Ventures est un investisseur majoritaire de The Block. Foresight Ventures investit dans d'autres sociétés de l'espace crypto. La bourse crypto Bitget est un LP ancré pour Foresight Ventures. The Block continue de fonctionner de manière indépendante pour fournir des informations objectives, percutantes et opportunes sur l'industrie crypto. Voici nos divulgations financières actuelles.
© 2026 The Block. Tous droits réservés. Cet article est fourni à titre informatif uniquement. Il n'est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
