#rsETHAttackUpdate

Mise à jour de l'attaque rsETH — La version complète que la DeFi devait entendre

Six jours se sont écoulés depuis qu'une des exploitations les plus importantes de l'histoire de la finance décentralisée s'est déroulée en temps réel. Si vous surveilliez vos positions Aave, votre collatéral rsETH, ou votre portefeuille DeFi pendant le week-end du 18 avril, vous n'imaginez pas des choses. Quelque chose de vraiment sérieux s'est produit — et les conséquences évoluent encore activement à ce jour, le 24 avril 2026. Je souhaite passer en revue toute la séquence des événements, depuis la première brèche jusqu'à l'effort de récupération coordonné en cours, car cette histoire mérite une analyse claire et honnête sans le bruit.

Ce qui s'est réellement passé le 18 avril

Le 18 avril 2026 à 17h35 UTC, au bloc Ethereum 24 908 285, un attaquant a exploité le routeur Kelp LayerZero V2 Unichain vers Ethereum rsETH.

Pour comprendre pourquoi cela était possible, il faut connaître un détail critique sur la configuration de ce pont.

Kelp DAO a configuré son intégration avec le modèle de sécurité le plus faible possible — un réseau de vérificateurs décentralisés 1-sur-1. Cela a donné à un seul nœud validateur, exploité par LayerZero Labs, le plein pouvoir d'approuver les messages inter-chaînes.

En termes pratiques, cela signifiait que si quelqu'un pouvait compromettre ou usurper ce seul validateur, l'ensemble du pont était compromis. Il n'y avait pas de redondance. Pas de seconde vérification. Un point de défaillance, protégeant des centaines de millions de dollars d'actifs.

L'attaquant a manipulé l'infrastructure de messagerie inter-chaînes de LayerZero pour traiter une instruction frauduleuse comme légitime, ce qui a conduit le pont de Kelp à libérer les jetons volés vers un portefeuille contrôlé par l'attaquant. La brèche s'est produite à 17h35 UTC, tandis que le multisig d'urgence de Kelp n'a réussi à geler que 46 minutes plus tard. Ces 46 minutes ont suffi à l'attaquant.

Environ 116 500 jetons rsETH ont été débloqués via la partie Ethereum du pont sans déclencher d'événement de brûlage sur le réseau d'origine. C'est là que réside la principale dangerosité de l'attaque — les jetons libérés côté Ethereum n'avaient aucune garantie légitime en collatéral. Ils étaient, en effet, contrefaits.

Comment l'attaquant a transformé de faux jetons en argent réel

C'est la partie qui révèle à quel point cette attaque était sophistiquée. Simplement créer des jetons non garantis est une chose. Les convertir en valeur réelle avant que quiconque ne s'en aperçoive en est une autre.

Un attaquant non identifié a manipulé le système de messagerie inter-chaînes, créant avec succès 116 500 jetons rsETH non garantis. Près de 90 000 de ces jetons ont ensuite été utilisés comme collatéral sur la plateforme Aave, permettant à l'attaquant d'emprunter environ 190 millions de dollars en Ethereum et autres actifs.

Le total de la saisie s'élève à environ 292 millions de dollars, représentant environ 18 % de l'offre en circulation de rsETH, ce qui en fait la plus grande exploitation de la finance décentralisée enregistrée en 2026.

Les fonds volés restants ont été bridgés et échangés contre du bitcoin via Thorchain, rendant la récupération beaucoup plus complexe.

La contagion qui a suivi

L'impact immédiat de l'exploitation ne s'est pas limité à KelpDAO ou même à Aave. La nature interconnectée des protocoles DeFi a fait que la onde de choc s'est propagée presque instantanément à travers tout l'écosystème.

Aave a gelé les marchés de prêt rsETH sur V3 et V4, faisant chuter le jeton AAVE d'environ 10 %. SparkLend et Fluid ont suivi avec des gels similaires. Lido Finance a suspendu les dépôts dans son produit earnETH exposé à rsETH tout en confirmant que stETH et wstETH n'ont pas été affectés.

La réaction des utilisateurs a été immédiate et sévère. Aave a perdu 8,45 milliards de dollars en dépôts dans les 48 heures suivant l'attaque, entraînant une baisse plus large de 13,21 milliards de dollars de la valeur totale verrouillée sur les plateformes DeFi.

L'attaquant a échangé le rsETH non garanti contre du WETH et des stablecoins sur Aave en exploitant la vulnérabilité de l'infrastructure de KelpDAO. Le contrat aETHrsETH d'Aave détenait environ 83 % du rsETH en circulation, concentrant ainsi l'exposition de manière massive sur le protocole de prêt.

L'ampleur des dégâts pour Aave spécifiquement

Une analyse de l'événement a estimé qu'Aave faisait face à une dette potentielle comprise entre 124 millions et 230 millions de dollars liée aux jetons drainés, et la valeur totale verrouillée d'Aave a chuté de 33 % en 72 heures.

Le trou total est estimé à plus de 112 000 rsETH. Ce chiffre est le problème central que toute l'initiative DeFi United s'efforce maintenant de résoudre.

À partir de 18h52 UTC le 18 avril, le Guardian d'Aave a lancé des gels immédiats sur les marchés rsETH et wrsETH dans toutes les déploiements où l'actif est listé.

La réponse de DeFi United

Ce qui s'est passé dans les jours suivant l'attaque est l'une des réponses coordonnées les plus importantes que l'écosystème DeFi ait jamais tentées.

Aave a lancé l'initiative DeFi United avec plusieurs entreprises crypto pour faire face à la perte de 292 millions de dollars causée par l'exploitation de KelpDAO et stabiliser le backing de rsETH. Des acteurs majeurs comme EtherFi, Golem Foundation, et Mantle contribuent avec des fonds et un soutien.

Lido Finance a été le premier participant public, proposant jusqu'à 2 500 staked ETH. EtherFi a proposé 5 000 ETH, tandis que le fondateur d'Aave, Stani Kulechov, a également promis personnellement 5 000 ETH.

Golem Foundation a contribué 1 000 ETH, et plusieurs autres contributeurs ont rejoint l'effort de récupération.

Le conseil de sécurité d'Arbitrum a gelé 30 766 ETH liés à l'exploitation, marquant une étape importante de récupération précoce.

Ce que cela révèle sur les vulnérabilités structurelles de la DeFi

L'exploitation rsETH n'était pas une vulnérabilité de contrat intelligent. C'était une défaillance de configuration du pont.

La configuration DVN 1-sur-1 a créé un point de défaillance unique sécurisant des centaines de millions d'actifs. C'est le problème central que l'industrie doit maintenant affronter.

Les ponts inter-chaînes restent l'une des surfaces d'attaque les plus exploitées en permanence dans la DeFi.

Où en sont les choses actuellement

Au 24 avril 2026, les marchés rsETH restent suspendus. Les efforts de récupération sont en cours sous DeFi United, mais l'écart de financement dépasse toujours 100 000 ETH.

Une partie des fonds a été gelée, mais la majorité des actifs transférés via Thorchain en Bitcoin n'ont pas encore été récupérés.

Aucun calendrier confirmé pour la réouverture des marchés rsETH n'existe.

Ce que cela signifie pour l'avenir de la DeFi

Ce fut un coup sérieux à la confiance dans la DeFi. Une exploitation de 292 millions de dollars et une sortie de liquidité massive ne sont pas un événement mineur.

Cependant, la réponse coordonnée montre une maturité croissante dans l'écosystème. La participation de plusieurs protocoles pour couvrir les pertes indique un passage vers une responsabilité collective.

Les leçons tirées de cette attaque façonneront la sécurité des ponts et la gestion des risques dans la DeFi à l'avenir.

Restez informé et surveillez de près les mises à jour officielles.