Le secteur DeFi a connu sa crise de sécurité la plus grave de l’année en avril 2026. Le 18 avril 2026, vers 17h35 (UTC), le pont inter-chaînes rsETH de Kelp DAO, construit sur LayerZero, a subi une attaque de grande ampleur. L’attaquant a frappé environ 116 500 rsETH à partir de rien sur le réseau principal Ethereum, pour une valeur d’environ 292 millions de dollars à ce moment-là — soit près de 18 % de l’offre totale en circulation de rsETH. Ce fut non seulement le plus important incident de sécurité DeFi de 2026, mais aussi le déclencheur d’une vague de fuite de capitaux à l’échelle du secteur. La valeur totale verrouillée (TVL) de la DeFi est passée d’environ 110 milliards de dollars au début de 2026 à près de 82,4 milliards de dollars, soit une chute de 25 % à son niveau le plus bas en un an. Contrairement aux attaques antérieures ciblant un seul protocole, cet événement a révélé un effet cumulatif de trois vulnérabilités majeures : risques de configuration des infrastructures inter-chaînes, failles dans la logique de collatéralisation du restaking, et structure fortement couplée des protocoles DeFi. Cette triple menace mérite une attention approfondie de l’ensemble de l’industrie.
L’attaque s’est déroulée en seulement 46 minutes
L’attaque a débuté le 18 avril 2026 à 17h35 (UTC). Après avoir obtenu des fonds initiaux via Tornado Cash, l’attaquant a appelé la fonction lzReceive sur le contrat LayerZero EndpointV2, envoyant un message inter-chaînes falsifié au contrat de pont de Kelp DAO sur le réseau principal Ethereum. Ce message affirmait à tort que des actifs rsETH étaient verrouillés sur la chaîne source et demandait la libération d’un montant équivalent sur la chaîne cible. Le contrat n’a pas vérifié rigoureusement la provenance du message inter-chaînes et a exécuté la libération, transférant 116 500 rsETH à une adresse contrôlée par l’attaquant.
Le véritable danger résidait dans l’étape suivante de l’attaquant. Plutôt que de vendre massivement les rsETH sur les marchés secondaires — où la liquidité était déjà limitée et où de gros volumes auraient entraîné une forte glissade — le pirate a déposé ces actifs en garantie sur les principaux protocoles de prêt tels que Aave V3 et V4, ainsi que Compound V3, empruntant environ 236 millions de dollars en WETH/ETH réels.
Environ 46 minutes après le début de l’incident, Kelp DAO a déclenché une pause d’urgence via multisig, bloquant avec succès deux tentatives supplémentaires d’extraire au total près de 80 000 rsETH et empêchant ainsi des pertes additionnelles. Par la suite, Aave a gelé en urgence tous les marchés liés à rsETH sur V3 et V4, et plusieurs protocoles — dont Ethena, Curve Finance et ether.fi — ont suspendu ou gelé les fonctions inter-chaînes liées à LayerZero.
Chronologie de l’attaque
| Heure (UTC) | Événement |
|---|---|
| 17h35 | L’attaquant initie la première transaction inter-chaînes falsifiée, frappant avec succès 116 500 rsETH |
| 17h35–17h40 | L’attaquant dépose les rsETH par lots sur Aave et d’autres protocoles de prêt, emprunte WETH/ETH |
| ~18h20 | Kelp DAO déclenche la pause d’urgence du contrat via multisig, intercepte de nouvelles attaques |
| Heures après l’attaque | Aave gèle les marchés rsETH ; plusieurs protocoles suspendent les fonctions LayerZero |
Vue d’ensemble on-chain : pression sur la TVL des 20 principales blockchains
Selon les dernières données de DeFiLlama (au 21 avril 2026), la TVL totale de la DeFi est tombée à environ 82,4 milliards de dollars après l’attaque, soit une baisse journalière d’environ 5,6 %. Cette chute quotidienne figure parmi les 2 % les plus sévères depuis 2024. Par secteur, les marchés de prêt ont été les plus touchés, avec une baisse de la TVL d’environ 13 % ; le liquid staking a reculé d’environ 3,4 % ; et les exchanges décentralisés ainsi que les protocoles de produits dérivés ont connu des baisses comprises entre 2 % et 3 %.
L’Ethereum, qui représente 53,91 % de la TVL totale de la DeFi, a vu sa TVL chuter de 17,91 % sur les 30 derniers jours. La TVL actuelle s’établit à environ 46,17 milliards de dollars, en net recul par rapport à plus de 56 milliards avant l’attaque. Parmi les 20 principales blockchains, seules quelques-unes ont affiché une légère croissance positive, tandis que la plupart ont enregistré des replis mensuels, les sorties de capitaux s’accélérant après l’incident.
Premièrement, l’attaque a accentué une tendance déjà existante de sorties de capitaux. Le recul mensuel de l’Ethereum a atteint 17,91 %, alors que la blockchain subissait déjà la pression d’une baisse générale de l’appétit pour le risque sur le marché. Deuxièmement, certaines blockchains ont montré de légers rebonds hebdomadaires (par exemple, Sei +7,85 % sur 7 jours ; PulseChain -0,24 % sur 7 jours mais +13,77 % sur le mois), indiquant que les capitaux ne quittaient pas entièrement l’écosystème mais étaient réalloués à des fins de gestion du risque. Troisièmement, les baisses mensuelles les plus marquées concernent les chaînes étroitement liées à l’écosystème de restaking d’Ethereum ou à l’infrastructure de ponts inter-chaînes, telles que Mantle (-52,01 %), Ethereal (-18,55 %) et Hyperliquid L1 (-17,73 %), reflétant les ondes de choc ciblées dues au couplage des protocoles.
Cause profonde : un point de configuration unique négligé
La vulnérabilité centrale de cette attaque ne relevait pas d’un bug de smart contract, mais d’une mauvaise configuration des paramètres de déploiement. Le contrat inter-chaînes rsETH de Kelp DAO utilisait une configuration 1/1 DVN (Decentralized Verifier Network), c’est-à-dire qu’un seul nœud vérificateur pouvait approuver les messages inter-chaînes. À l’inverse, la documentation officielle de LayerZero recommande par défaut une configuration multi-vérificateurs 2/2.
Le chemin technique suivi par l’attaquant : d’abord, il a obtenu la liste des nœuds RPC utilisée par le DVN de LayerZero, compromis deux clusters RPC indépendants et remplacé leurs binaires op-geth. Ensuite, il a falsifié sélectivement les réponses — envoyant des paquets de données malveillants uniquement au DVN, tout en renvoyant des données authentiques aux autres IP pour éviter la détection. Parallèlement, il a lancé des attaques DDoS sur les nœuds RPC non compromis, forçant le DVN à basculer vers les nœuds corrompus. Après validation du message falsifié, les binaires malveillants se sont auto-détruits pour effacer les traces.
Le rapport post-incident de LayerZero Labs a attribué à titre préliminaire l’attaque au groupe TraderTraitor, affilié au groupe Lazarus de Corée du Nord, également impliqué dans l’attaque du protocole Drift plus tôt dans le mois. LayerZero a souligné que cet incident n’a affecté que la configuration rsETH de Kelp DAO ; les autres applications utilisant la redondance multi-DVN n’ont pas été touchées, et le protocole lui-même ne présentait aucune vulnérabilité.
Débats sur la responsabilité
Après l’incident, des débats ont rapidement éclaté entre Kelp DAO, LayerZero et Aave quant à la responsabilité. LayerZero a soutenu que l’utilisation par Kelp DAO d’une configuration 1/1 DVN était la cause directe — un « point de défaillance unique » présentant une faille fondamentale. Le fondateur de Kelp DAO, Charlie, a reconnu sur X que l’équipe avait utilisé par erreur la configuration 1/1 DVN et a déclaré qu’ils indemniseraient intégralement tous les utilisateurs affectés, rejetant explicitement l’approche redoutée de la « socialisation des pertes ».
Dans le même temps, le développeur principal de Yearn Finance, banteg, a contesté la qualification par LayerZero de l’événement comme « empoisonnement RPC », arguant que l’attaquant avait franchi la frontière de confiance de LayerZero et que la gravité de l’incident était sous-estimée. Des analystes tiers ont noté que, si Kelp DAO a choisi la configuration 1/1 DVN, en tant que concepteur du protocole inter-chaînes sous-jacent, LayerZero porte également une part de responsabilité architecturale.
Il est à noter que l’ancienne équipe de gestion des risques d’Aave, BGD Labs, avait signalé le problème de configuration du DVN de Kelp DAO dès janvier de l’année précédente. Toutefois, bien que Kelp ait accepté la recommandation, aucune modification substantielle n’a été apportée, et Aave n’a pas poursuivi le suivi de la situation. Cet historique met en lumière une déconnexion structurelle entre l’émission d’alertes de sécurité et leur mise en œuvre effective.
Impact sectoriel : créances douteuses sur Aave et contagion des protocoles
Aave a été le plus durement touché par l’incident. L’attaquant a utilisé les rsETH volés comme collatéral pour emprunter de l’ETH sur Aave, générant entre 177 et 196 millions de dollars de créances irrécouvrables, impossibles à liquider selon les mécanismes standards. Le taux d’utilisation de l’ETH sur plusieurs marchés Aave V3 a brièvement atteint 100 %, entraînant une vague de retraits.
Dans les 48 heures suivant l’attaque, la TVL d’Aave a chuté d’environ 26,4 milliards à 17 milliards de dollars — soit une sortie record de 9,45 milliards de dollars à court terme, la plus importante de l’histoire du protocole. Le cours du token AAVE a reculé d’environ 10 % à près de 20 % après l’événement.
Au 21 avril 2026, selon les données de marché Gate : AAVE s’échange autour de 105,73 dollars et ETH à environ 2 309 dollars. Tous les prix sont issus des données temps réel de la plateforme Gate, exprimés en USD.
Liste de la contagion
Au-delà d’Aave, plusieurs protocoles majeurs ont pris des mesures d’urgence. Ethena a prolongé la suspension de son pont OFT LayerZero ; Curve Finance a mis en pause l’infrastructure LayerZero, affectant le pont CRV depuis BNB, Sonic, Avalanche et d’autres chaînes ; ether.fi et Tron DAO ont également gelé leurs ponts OFT LayerZero ; SparkLend et Fluid ont simultanément gelé les positions impliquant rsETH. Compound V3 a enregistré environ 39,4 millions de dollars de créances douteuses, et Euler environ 840 000 dollars.
Cette réaction en chaîne a révélé une vulnérabilité structurelle de la DeFi : les actifs enveloppés de type LRT (comme rsETH) reposent fondamentalement sur la sécurité des ponts. Lorsque les principaux protocoles de prêt acceptent ces actifs à haut risque en collatéral, toute faille sous-jacente peut se propager instantanément via les interconnexions protocolaires à l’ensemble de l’écosystème de prêt. La composabilité « façon Lego » de la DeFi amplifie la transmission du risque de manière fortement asymétrique.
Trois scénarios pour la gestion des créances douteuses — et un dilemme
Le fondateur de DeFiLlama, 0xngmi, a identifié trois scénarios possibles pour résoudre la crise de Kelp DAO :
Scénario 1 : Socialisation des pertes. Kelp DAO impose une décote uniforme d’environ 18,5 % à tous les détenteurs de rsETH. Dans ce cas, toutes les positions rsETH en collatéral sur Aave mainnet sont annulées, générant environ 216 millions de dollars de créances douteuses. Le protocole Umbrella peut couvrir près de 55 millions, la trésorerie d’Aave environ 85 millions, laissant un déficit de 76 millions à combler par Kelp DAO via emprunt ou vente de tokens.
Scénario 2 : Abandon des utilisateurs L2. Kelp DAO ne protège que les détenteurs de rsETH sur le mainnet, considérant les rsETH sur L2 comme sans valeur. Aave L2 détient actuellement environ 359 millions de dollars de rsETH en collatéral ; si tous sont utilisés avec l’effet de levier maximal, cela générerait près de 341 millions de dollars de créances douteuses, sans couverture du protocole Umbrella. Aave abandonnerait probablement les marchés L2 les plus touchés, tels qu’Arbitrum, Mantle et Base.
Scénario 3 : Remboursement sur la base d’un snapshot pré-attaque. Kelp DAO indemnise intégralement uniquement les détenteurs de rsETH avant l’attaque, sur la base d’un snapshot, tandis que les acheteurs ou bénéficiaires post-attaque supportent la perte. Toutefois, en raison des nombreux mouvements de fonds après l’attaque et du fonctionnement des protocoles DeFi comme pools de liquidité, il est pratiquement impossible de distinguer les déposants selon les lots, rendant cette option techniquement irréalisable.
Chaque scénario présente ses avantages et inconvénients : le scénario 1 est le plus équitable mais impose une lourde charge financière à la fois à la trésorerie d’Aave et à Kelp DAO ; le scénario 2 limite l’impact sur le mainnet Aave mais porte gravement atteinte à la crédibilité de l’écosystème L2 et aggrave la contagion ; le scénario 3 limite théoriquement la propagation mais est quasi impossible à mettre en œuvre. Au 21 avril 2026, bien que le fondateur de Kelp DAO ait promis une indemnisation totale des utilisateurs, les détails du plan et des sources de financement restent inconnus, et la résolution finale demeure incertaine.
Conclusion
L’attaque du pont Kelp DAO, avec une perte unique de 292 millions de dollars, a déclenché la plus grave sortie de capitaux systémique de la DeFi en 2026. La TVL des 20 principales blockchains a reculé dans son ensemble, Aave a subi des retraits de plusieurs milliards de dollars, et plusieurs protocoles majeurs ont mis en place des gels d’urgence — illustrant une contraction généralisée de la liquidité du secteur.
Plus fondamentalement, le cœur du problème ne résidait pas dans un simple bug de smart contract, mais dans l’accumulation de vulnérabilités liées à une mauvaise configuration de l’infrastructure inter-chaînes, à une logique de collatéralisation du restaking défaillante, et à un couplage élevé des protocoles. Les risques de validation à point unique, la mauvaise adéquation des actifs LRT, et les lacunes des audits de sécurité sur les paramètres de configuration forment un ensemble de défis structurels interdépendants.
D’un point de vue sécuritaire, l’industrie doit urgemment adopter des standards d’audit full-stack couvrant le code des smart contracts, les paramètres de déploiement et l’architecture de validation inter-chaînes. Les audits devraient impérativement inclure les seuils DVN et la redondance des nœuds RPC. Pour les utilisateurs, participer à des protocoles de restaking implique non seulement d’évaluer les rendements, mais aussi d’examiner la configuration de sécurité du pont (nombre et seuils de validateurs), la transparence des réserves d’actifs sous-jacents, et l’historique de gestion des incidents de sécurité par l’équipe du protocole.
La santé à long terme de la DeFi repose non seulement sur la croissance durable de la liquidité et des rendements, mais aussi sur l’amélioration systématique de l’infrastructure de sécurité et des mécanismes d’isolation des risques. Chaque incident majeur de sécurité met en lumière des vulnérabilités structurelles et fait office de test de résistance pour la gouvernance et la gestion de crise du secteur. L’histoire complète de l’incident Kelp DAO est encore en cours d’écriture. L’efficacité de la gestion post-crise et des réformes institutionnelles déterminera si cet événement marquera un tournant dans la maturation de la DeFi — ou s’il ne sera qu’une brèche de sécurité de plus, vite oubliée.
