Moins d'un jour après que des attaquants ont siphonné 291 millions de dollars en crypto d'infrastructures liées au projet de finance décentralisée Kelp DAO, les utilisateurs d'Aave, l'un des protocoles DeFi les plus éprouvés, ont eu du mal à retirer des fonds en pleine crise de liquidité.
Un pont qui permet normalement aux utilisateurs de déplacer un actif appelé rsETH d'un réseau à un autre a été exploité samedi, ce qui a poussé Aave à geler les marchés liés à ce token, que les attaquants avaient utilisé pour emprunter des fonds sur la plateforme, a déclaré le protocole de prêt dans un post X.
Pendant ce temps, Kelp DAO a déclaré dans un post X avoir « mis en pause les contrats rsETH » sur le réseau principal d'Ethereum et plusieurs réseaux de mise à l'échelle de couche 2, alors qu'il enquête sur une activité suspecte.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
— Kelp (@KelpDAO) April 18, 2026
L'activité des attaquants sur Aave a fait grimper le taux d'utilisation d'un pool de prêt central à 100 %, signalant que les utilisateurs ayant précédemment déposé de l'Ethereum et de l'Ethereum wrappé se retrouvent avec peu ou pas de liquidité à retirer, selon les données d'Aavescan.
Une heure avant qu'Aave ne bloque les marchés, la société de sécurité blockchain PeckShield a signalé une transaction montrant 116 500 rsETH, d'une valeur de 291 millions de dollars à l'époque, se dirigeant vers un nouveau portefeuille.
Les attaquants ne se sont pas enfuis avec les rsETH qui avaient été malicieusement libérés du pont. Au lieu de cela, ils ont utilisé Aave pour emprunter des fonds réguliers, créant ainsi une « énorme mauvaise dette », a déclaré Francesco Andreoli, responsable des relations avec les développeurs chez Consensys et MetaMask, dans un post X. (Avertissement : Consensys est l'un des nombreux investisseurs dans Decrypt, un média éditorialement indépendant.)
Le token de gouvernance d'Aave a chuté à 90,13 $ dimanche, soit une baisse de 16 % au cours de la dernière journée, selon CoinGecko. L'Ethereum a baissé de 2 % pour atteindre 2 300 $ sur la même période.
Alors que les utilisateurs avaient du mal à retirer des fonds d'Aave, ils ont commencé à emprunter contre leurs dépôts en stablecoins, ce qui a encore tendu la liquidité, signe d'« effets secondaires négatifs », a déclaré monetsupply.eth, le chef de stratégie pseudonyme du projet DeFi Spark, dans un post X.
L'exploit de Kelp DAO et les retombées qui en ont résulté sur Aave ont provoqué une vague massive de retraits de plusieurs protocoles DeFi, même ceux qui n'ont pas été affectés, selon 0xngmi, le co-fondateur pseudonyme du fournisseur de données DefiLlama. Sur une base nette, les utilisateurs avaient retiré 6,2 milliards de dollars d'Aave seul tôt dimanche, ont-ils déclaré dans un post X.
The Aave situation is bad and getting worse. Multiple other pools are hitting 100% utilization, leaving lenders stuck and the protocol at risk of further bad debt.
Lending rates have increased to 10-15%, a notable increase but still not an appropriate reward for the perceived…
— Quit (@0xQuit) April 19, 2026
Alors que la contagion semble se propager, le dernier exploit de la DeFi offre « beaucoup de munitions » aux critiques sceptiques quant aux systèmes visant à remplacer les intermédiaires financiers traditionnels par du code, a déclaré Salman Banei, conseiller général chez Plume, un réseau axé sur la tokenisation, dans un post X.
Kelp DAO émet des rsETH, un token de staking liquide qui permet aux utilisateurs de gagner des récompenses de staking Ethereum et de restaking EigenLayer. Il agit comme un « reçu » négociable pour les déposants de Kelp DAO. Le pont de Kelp DAO a été construit sur l'infrastructure conçue par LayerZero, un protocole qui permet aux applications DeFi d'envoyer des messages et de transférer des actifs entre les blockchains.
Stacy Muur, chercheuse reconnue en blockchain, a déclaré dans un post X que l'exploit semblait reposer sur un point de défaillance unique. Elle a écrit qu'un message « fantôme » utilisé par les attaquants a essentiellement trompé le pont de Kelp DAO en lui faisant libérer des rsETH sur Ethereum sans retirer une quantité correspondante de tokens de la circulation sur la couche 2 d'Ethereum Unichain.
Néanmoins, certains observateurs étaient désireux de trouver une voie à suivre, y compris l'entrepreneur crypto et fondateur de Tron, Justin Sun. Il a tenté de négocier, arguant que les attaquants auraient finalement du mal à dépenser les fonds volés.
« Combien [voulez-vous] ? » leur a-t-il demandé dans un post X. « Ça ne vaut tout simplement pas la peine de sacrifier à la fois Aave et Kelp DAO et de les laisser s'effondrer à cause de ce hack. »
