Post-mortem : Comment le piratage de $272 Million rsETH s’est produit

​Le 18 avril 2026, la nature interconnectée de la finance décentralisée a transformé une vulnérabilité externe en une crise systémique catastrophique pour Aave. Une attaque sophistiquée contre l'infrastructure cross-chain de Kelp DAO a entraîné le vol de plus de $292 millions de tokens de restaking liquide. En weaponisant les paramètres de risque agressifs d'Aave, les attaquants ont extrait $272 millions de WETH, laissant les déposants ordinaires face à des pertes permanentes et exposant les failles fatales de l'architecture DeFi hyper-composable.

​❍ La brèche du pont LayerZero

​La crise a commencé à l’extérieur, au niveau du pont d’adaptateur cross-chain de Kelp DAO, alimenté par l’infrastructure LayerZero.

​La manipulation : Les attaquants ont utilisé des charges utiles de messagerie falsifiées pour manipuler la couche de vérification complexe du pont, leur accordant des permissions de niveau administrateur.

​Le butin : Cette manipulation technique leur a permis de drainer 116 500 tokens rsETH directement dans un portefeuille contrôlé par l’attaquant.

​Échelle massive : Cette somme représentait environ 18 pour cent de l’offre en circulation mondiale de rsETH, d’une valeur de plus de $292 millions.

​❍ Weaponisation du mode efficacité d’Aave

​Les attaquants ont immédiatement ciblé les pools de liquidité profonds d’Aave, déposant le rsETH volé en tant que garantie sur les déploiements V3 et V4.

​Extraction maximale : En utilisant le mode efficacité d’Aave (E-Mode), qui catégorise rsETH comme étant fortement corrélé à l’éther natif, les attaquants ont obtenu un ratio prêt/valeur de 93 pour cent. Selon les paramètres de risque standard, cette limite d’emprunt aurait été strictement plafonnée à 72 pour cent.

​L’épuisement : Cette paramétrisation agressive leur a permis d’extraire $272 millions de WETH contre la garantie non backing. La configuration E-Mode leur a permis d’extraire $62 millions de plus que ce que les réglages standards auraient permis.

​Utilisation à 100 pour cent : Alors que la valeur marchande réelle du rsETH s’effondrait instantanément, la logique interne d’Aave a retardé la mise à jour des prix. Le protocole a absorbé la garantie sans valeur, poussant le taux d’utilisation du pool WETH à exactement 100 pour cent et bloquant les déposants légitimes hors de leurs fonds.

​❍ Faille d’umbrella et déposants face à des décotes

​Les gardiens d’Aave ont exécuté des protocoles d’urgence, suspendant tous les marchés rsETH et wrsETH pour contenir la contagion. Cela a déclenché Umbrella, le système automatisé de gestion des risques onchain qui a remplacé le module de sécurité legacy fin 2025.

​Le déficit : Umbrella a automatiquement brûlé ses actifs stakés pour couvrir la dette impayée, mais le coffre ne détenait que $50 millions d’aWETH disponibles pour une réduction immédiate.

​L’écart de financement : Avec une dette impayée totale estimée entre $177 millions et $280 millions, le protocole faisait face à un déficit de financement non résolvable allant de $127 millions à $150 millions.

​Décotes obligatoires : La documentation officielle du protocole indique qu’une fois que les actifs de garantie d’Umbrella sont complètement brûlés, le déficit restant retombe directement sur les déposants en WETH. Ces utilisateurs doivent alors subir une décote obligatoire, signifiant une perte partielle permanente de leur principal déposé.

​Quelques réflexions aléatoires 💭

​Cet événement est une leçon brutale sur les dangers de la composabilité en DeFi. Les contrats intelligents principaux d’Aave ont été exécutés sans faille, mais le protocole a tout de même été mis à genoux. L’exploitation a entièrement pris naissance en dehors de l’écosystème d’Aave, au niveau du pont Kelp DAO, mais la paramétrisation interne agressive d’Aave a été le catalyseur ultime de l’extraction. Lorsqu’un protocole dépend entièrement de la logique mathématique sans supervision humaine conservatrice, les cas extrêmes se transforment en défaillances systémiques.

La décision d’accorder un ratio prêt/valeur de 93 pour cent sur un actif dérivé comme rsETH privilégiait l’efficacité du capital plutôt que la survie. Pour les déposants ordinaires en WETH contraints d’absorber une décote massive, la distinction entre un contrat intelligent sans faille et un modèle de risque défectueux n’offre aucun réconfort.

#KelpDAOBridgeHacked