Le 18 avril 2026 à 03:41 UTC, des attaquants ont siphonné 116 500 rsETH, soit 292 millions de dollars, en exploitant une faille dans le bridge cross-chain de Kelp DAO construit sur LayerZero. Aucun communiqué préalable, aucune alerte. Un simple mouvement on-chain qui paraissait banal. En 48 heures, Aave a perdu 8,45 milliards de dollars de dépôts et plus de 13 milliards ont quitté l'écosystème DeFi. C'est le plus grand exploit DeFi de 2026.
Rapport d'incident de sécurité
Protocole
Kelp DAO (rsETH Bridge)
Montant dérobé
292 millions de dollars (116 500 rsETH)
Chaînes
Ethereum mainnet + 20+ L2 (Base, Arbitrum, Linea, Blast, Mantle, Scroll)
Date
18 avril 2026 · 03:41 UTC
Vecteur d'attaque
Vulnérabilité dans le bridge cross-chain construit sur LayerZero, qui gérait la réserve de rsETH sur plus de 20 blockchains. L'attaquant a exploité la faille pour transférer 116 500 rsETH depuis la réserve du bridge. Il a ensuite déposé 89 567 rsETH sur Aave comme collatéral et emprunté 190,86 millions de dollars en wrapped Ether, tandis que l'oracle d'Aave évaluait encore rsETH au prix d'avant l'exploit.
Réponse du protocole
Kelp DAO a suspendu les contrats rsETH sur le mainnet et les L2 après avoir détecté l'activité suspecte. Aave a gelé les marchés rsETH pour bloquer tout nouveau dépôt ou emprunt contre ce collatéral. Communiqué officiel de Kelp DAO publié sur X à 06:00 UTC le 18 avril 2026.
Sources: PeckShield · CertiK · CoinDesk · Cybernews · Bank Policy Institute · 18, 20 avril 2026
Sources: PeckShield · CertiK · CoinDesk · Cybernews · Bank Policy Institute · 18, 20 avril 2026
Comment la manipulation de l'oracle Aave a amplifié les pertes
La perte directe liée à la faille du bridge LayerZero s'établissait à 292 millions de dollars. Ce que la défaillance de l'oracle d'Aave a ajouté a transformé un vol en événement systémique. L'attaquant a déposé 89 567 rsETH sur Aave comme collatéral immédiatement après l'exploit. L'oracle de prix d'Aave ne vérifie pas la provenance des actifs déposés: il contrôle uniquement leur valeur de marché au moment du dépôt.
À 03:41 UTC, rsETH affichait encore son prix d'avant l'exploit. L'attaquant a emprunté 190,86 millions de dollars en wrapped Ether contre un collatéral que le marché allait réévaluer à la baisse dans l'heure suivante. Lorsqu'Aave a gelé ses marchés rsETH, 190 millions de dollars en Ether réel avaient déjà quitté le protocole. C'est l'écart entre une vulnérabilité de bridge et une cascade au niveau protocolaire.
Selon CoinDesk, Aave a perdu 8,45 milliards de dollars de dépôts totaux sur les 48 heures suivantes, passant de 26,35 milliards à 17,9 milliards de dollars. Plus de 13 milliards de dollars ont quitté l'ensemble de l'écosystème DeFi en réaction. Stani Kulechov, fondateur d'Aave, a précisé sur X que les contrats Aave n'avaient pas été compromis: le problème venait de l'actif accepté comme collatéral. Une distinction technique importante. Elle n'a pas enrayé les sorties de fonds.
Kelp DAO n'est pas le premier protocole de liquid staking à céder sur un vecteur comparable. D'après l'analyse d'Elliptic, Drift Protocol avait subi une attaque de 286 millions de dollars en mars 2026 sur Solana, avec une implication présumée de groupes liés à la Corée du Nord. Deux événements distincts, deux vecteurs différents, à une semaine d'intervalle. Au 20 avril 2026, selon les données de CoinDesk, les pertes DeFi cumulées depuis le début de l'année dépassaient déjà 775 millions de dollars.
Quelles conséquences pour la DeFi institutionnelle
D'après CoinDesk, Apollo Global Management et BlackRock n'ont pas modifié leurs plans d'expansion dans la finance onchain à la suite de l'exploit. La position des institutionnels est pragmatique: le problème n'est pas la DeFi en elle-même, mais le niveau actuel de ses défenses.
«Chaque couche de la pile DeFi doit faire de la sécurité la priorité absolue», a déclaré un analyste à CoinDesk le 2 mai 2026. «D'autant plus à l'ère de l'intelligence artificielle, qui rend certains vecteurs d'attaque beaucoup plus rapides à construire.»
PeckShield a retracé les mouvements des fonds volés vers des adresses liées à Tornado Cash dans les heures suivant l'attaque. Selon l'analyse on-chain de PeckShield, 180 millions de dollars étaient déjà en cours de mixage à 08:00 UTC le 18 avril. Les perspectives de récupération sont proches de zéro.
Trois points à surveiller dans les prochaines semaines: les débats autour de la validation multi-sources obligatoire pour les oracles de prix dans les principaux protocoles; la proposition de Kelp DAO pour un fonds d'indemnisation des utilisateurs touchés; et la position formelle de la BCE, qui le 2 mai a explicitement cité cet exploit comme argument supplémentaire en faveur de la supervision prudentielle des actifs DeFi dans le cadre de la révision MiCA 2026. Christine Lagarde a invoqué la stabilité systémique. Cette fois, avec de vrais chiffres à l'appui.
