#rsETHAttackUpdate
Six jours après le plus grand piratage DeFi de 2026, la crise rsETH est entrée dans sa phase de récupération la plus critique. L'attaque est contenue. Le saignement a cessé. Mais la résolution complète couvrant la distribution de la dette impayée, la restauration du peg rsETH, et la récupération des fonds multi-chaînes est encore en cours de développement ce matin. Voici tout ce qui a été confirmé aujourd'hui.
Résumé de l'attaque Ce qui s'est passé le 18 avril
Le 18 avril 2026 à 17h35 UTC, un attaquant a exploité le pont LayerZero V2 de KelpDAO entre Unichain et le réseau principal Ethereum. Le pont était configuré avec une DVN catastrophiquement faible à 1-sur-1, ce qui signifie qu'un seul nœud validateur exploité par LayerZero Labs avait toute l'autorité pour approuver les messages inter-chaînes sans vérification indépendante. L'attaquant a empoisonné l'infrastructure RPC utilisée par la DVN de LayerZero, DDoSant des nœuds légitimes pour forcer un basculement vers des nœuds compromis, puis a usurpé un message inter-chaînes valide qui a trompé le pont pour frapper 116 500 jetons rsETH non garantis directement vers des adresses contrôlées par l'attaquant. Ces jetons ont été immédiatement déposés dans Aave V3 en tant que garantie, permettant à l'attaquant d'emprunter de grandes quantités de WETH réel contre une garantie totalement fictive. Dommages totaux : 292 millions de USDT, le plus grand exploit DeFi de 2026.
Progrès de la récupération Ce qui a été confirmé aujourd'hui
La récupération progresse mais reste incomplète. Le Conseil de sécurité d'Arbitrum a maintenant récupéré environ 70 millions de USDT en ETH liés à l'attaque, une augmentation par rapport aux 30 766 ETH rapportés plus tôt cette semaine. Ces fonds restent dans un portefeuille intermédiaire en attente d'une décision de gouvernance sur la méthodologie de distribution. Cependant, une grande partie des actifs volés a déjà été transférée via THORChain, compliquant considérablement la récupération complète. La multisignature de KelpDAO a gelé les contrats principaux peu après l'identification de l'exploit, ce qui a réussi à bloquer une seconde tentative de vol d'environ 95 millions de USDT, confirmant que les mécanismes de réponse d'urgence ont été activés correctement après la première brèche. Le taux global de récupération reste bien en dessous de 50 % des fonds volés au 24 avril.
Coalition de l'industrie DeFi United se forme
Le développement le plus important aujourd'hui est l'expansion officielle de l'initiative de récupération DeFi United, un effort de sauvetage coordonné à l'échelle de l'industrie dirigé par Aave pour stabiliser le backing rsETH et éliminer la dette impayée sur les plateformes de prêt affectées. Les contributions confirmées au 24 avril incluent le fondateur d'Aave, Stani Kulechov, qui s'est personnellement engagé à fournir 5 000 ETH de ses propres fonds, déclarant : « Aave est mon œuvre de toute une vie et nous travaillons sans relâche pour trouver la meilleure solution pour les utilisateurs. » La gouvernance d'EtherFi a reçu une approbation écrasante de 1 800 détenteurs de jetons, autorisant une contribution allant jusqu'à 5 000 ETH provenant de sa trésorerie DAO. Lido Finance a engagé jusqu'à 2 500 stETH exclusivement pour combler le déficit de backing rsETH. La Fondation Golem et Golem Factory ont conjointement contribué 1 000 ETH de leurs trésoreries. LayerZero a également proposé une contribution pour restaurer le backing rsETH, déclarant qu'elle a travaillé en étroite coordination avec Aave, EtherFi, Ethena, Arbitrum et Kelp tout au long du processus. Tydro, Ink Foundation et Mantle ont tous rejoint la coalition, Mantle proposant un prêt structuré important pour soutenir la position de liquidité d'Aave. En une semaine, une feuille de route détaillée, incluant toutes les entités impliquées et les méthodologies de distribution des fonds, devrait être publiée.
Statut de gel de la réserve officielle d'Aave
Le Guardian d'Aave a lancé des gels d'urgence sur les marchés rsETH et wrsETH dans toutes les déploiements en 77 minutes après l'exploitation initiale, à 18h52 UTC le 18 avril. Au 24 avril, les réserves de rsETH restent en pause sur Ethereum Core, Arbitrum, Base, Mantle et Linea, Aave précisant que cette pause prolongée est conçue pour maximiser la récupération des fonds à mesure que les plans de résolution avancent. La gouvernance d'Aave a désactivé les marchés rsETH sur les déploiements V3 et V4. Tous les autres pools Aave restent entièrement sûrs et opérationnels, l'incident étant limité à rsETH et ne reflétant aucune vulnérabilité du protocole Aave lui-même.
Contagion plus large dans DeFi La photo complète des dégâts
La contagion s'est étendue bien au-delà de KelpDAO. Aave a enregistré 6 200 millions de USDT en sorties nettes, une réduction de 23 %. Morpho a perdu 716 millions de USDT, en baisse de 9 %. Sky protocol a perdu 272 millions de USDT, en baisse de 4 %. JupLend a perdu 76 millions de USDT, en baisse de 8 %. La TVL totale de DeFi a chuté d'environ 10 milliards de USDT immédiatement après l'attaque, JPMorgan estimant l'impact plus large de l'écosystème à 20 milliards de USDT. Lido a suspendu son produit EarnETH, qui représentait environ 9 % de sa TVL directement exposée à rsETH de KelpDAO, et a déployé une réserve de liquidité de 3 millions de USDT tout en traitant les retraits pour les demandes pré-incident à des évaluations pré-attaque. DVV, GGV et EarnUSD de Lido ont confirmé une exposition directe nulle à rsETH et continuent de fonctionner normalement. SparkLend et Fluid ont tous deux mis en pause d'urgence l'exposition à rsETH. Les taux d'intérêt basés sur l'utilisation ont explosé sur plusieurs plateformes de prêt, forçant la désendettement des emprunteurs et des ajustements de portefeuille dans tout l'écosystème.
État actuel des fonds des utilisateurs par type de position
La sécurité des fonds des utilisateurs dépend entièrement du produit et de la chaîne sur lesquels ils ont été exposés.
Les détenteurs de rsETH sur le réseau principal Ethereum, soutenus par des dépôts légitimes d'EigenLayer, conservent leur garantie sous-jacente. Les délégations EigenLayer ont été confirmées comme étant entièrement intactes et n'ont jamais été compromises. Les utilisateurs d'Aave avec des positions non-rsETH dans tous les pools sont entièrement en sécurité et non affectés. Les utilisateurs détenant du rsETH wrapped sur des réseaux Layer 2 font face à une incertitude réelle : la réserve de pont qui soutient ces jetons est cassée, et la distribution des pertes entre les chaînes n'a pas encore été formellement déterminée. Les utilisateurs ayant soumis des retraits EarnETH avant la crise de liquidité seront remboursés à la valeur pré-incident. Les demandes de retrait ultérieures seront traitées après la normalisation des conditions de liquidité. La guidance officielle de tous les protocoles affectés reste inchangée : ne pas interagir avec rsETH sur aucune chaîne jusqu'à ce qu'une résolution formelle soit annoncée.
Patch de sécurité Ce qui a changé
La configuration DVN 1-sur-1 qui a permis cette attaque a été identifiée comme la vulnérabilité racine définitive et ne apparaîtra dans aucune future déploiement de KelpDAO ou LayerZero. LayerZero a reconnu avoir recommandé des configurations multi-DVN à KelpDAO avant l'exploitation, mais que son protocole permettait encore des déploiements 1-sur-1, une lacune qu'il s'engage maintenant à corriger au niveau du protocole. Le chercheur en sécurité on-chain banteg a publiquement identifié que plusieurs autres projets exploitaient encore des configurations de pont 1-sur-1 au 19 avril, notamment sur Arbitrum, Base et BSC, déclenchant des revues de sécurité urgentes dans tout l'écosystème DeFi. Une norme minimale de vérification multi-DVN 2-sur-3 est désormais adoptée comme référence dans l'industrie pour tous les déploiements de ponts à haute valeur.
Sentiment des investisseurs Peur ou opportunité
Le sentiment du marché autour de rsETH reste profondément négatif et le restera jusqu'à ce que la feuille de route de récupération DeFi United soit officiellement publiée et que la distribution de la dette impayée soit confirmée. Cependant, le secteur DeFi plus large montre des signes précoces d'une opération de fuite vers des alternatives non affectées, avec un capital qui se déplace des protocoles touchés vers des options non compromises. Santiment a confirmé ce pattern émergent six jours après la chute de Kelp. La rapidité et l'ampleur de la coalition DeFi United, avec plus de 13 500 ETH déjà engagés par des contributeurs confirmés, surpassent toute précédente tentative de récupération après exploit DeFi et indiquent une maturité significative de l'écosystème. Le fait que 1 800 détenteurs de jetons EtherFi aient voté massivement pour déployer des capitaux de récupération confirme que les mécanismes de gouvernance DeFi peuvent se mobiliser à la vitesse de crise lorsque l'enjeu est élevé.
Leçons pour la sécurité DeFi Ce que cela change de façon permanente
Trois changements structurels sont désormais en cours dans DeFi, directement liés à cette exploitation. Premièrement, les configurations DVN 1-sur-1 sont en train d'être éliminées de tous les principaux protocoles de ponts : l'attaque de KelpDAO a montré qu'une seule compromission de validateur peut drainer des centaines de millions en quelques minutes. Deuxièmement, la surveillance en temps réel des invariants, suivant les ratios de verrouillage à frappe, sur toutes les chaînes simultanément, devient une exigence de sécurité essentielle, et non une option. Troisièmement, les limites de concentration de TVL des ponts entrent dans les discussions de gouvernance des principaux protocoles : aucun pont ne devrait détenir seul la garantie de réserve pour un pourcentage significatif de l'offre en circulation d'un jeton sans dispositifs automatiques de coupure.
Chronologie de la récupération
Le calendrier de résolution de base est de 30 à 60 jours pour que la feuille de route DeFi United s'exécute, que la dette impayée soit distribuée, et que les marchés rsETH commencent à rouvrir chaîne par chaîne, en commençant par le réseau principal Ethereum. La meilleure hypothèse pour la récupération de rsETH dépend de trois variables convergentes : la finalisation des engagements de capitaux de DeFi United dans une semaine, l'approbation par le Conseil de sécurité d'Arbitrum de la distribution des fonds récupérés de 70 millions de USDT, et l'absence de mouvements supplémentaires de THORChain par l'attaquant qui compliqueraient davantage la forensique on-chain.
Pour les détenteurs existants de rsETH, il s'agit d'une situation de maintien et de surveillance, pas de vente en période d'illiquidité ni d'achat tant que la voie de récupération officielle n'est pas confirmée. Pour l'écosystème DeFi plus large, l'initiative DeFi United représente la réponse de crise la plus coordonnée de l'histoire du secteur. Si elle réussit, elle établira une nouvelle norme sur la façon dont DeFi gère les événements black swan. Si elle échoue, la pression réglementaire pour une assurance DeFi obligatoire et des audits de sécurité des ponts deviendra politiquement inévitable.
L'attaque est terminée. La récupération a commencé. Le résultat dépendra de la capacité des plus grands noms de DeFi à tenir leurs plus grands engagements.
Six jours après le plus grand piratage DeFi de 2026, la crise rsETH est entrée dans sa phase de récupération la plus critique. L'attaque est contenue. Le saignement a cessé. Mais la résolution complète couvrant la distribution de la dette impayée, la restauration du peg rsETH, et la récupération des fonds multi-chaînes est encore en cours de développement ce matin. Voici tout ce qui a été confirmé aujourd'hui.
Résumé de l'attaque Ce qui s'est passé le 18 avril
Le 18 avril 2026 à 17h35 UTC, un attaquant a exploité le pont LayerZero V2 de KelpDAO entre Unichain et le réseau principal Ethereum. Le pont était configuré avec une DVN catastrophiquement faible à 1-sur-1, ce qui signifie qu'un seul nœud validateur exploité par LayerZero Labs avait toute l'autorité pour approuver les messages inter-chaînes sans vérification indépendante. L'attaquant a empoisonné l'infrastructure RPC utilisée par la DVN de LayerZero, DDoSant des nœuds légitimes pour forcer un basculement vers des nœuds compromis, puis a usurpé un message inter-chaînes valide qui a trompé le pont pour frapper 116 500 jetons rsETH non garantis directement vers des adresses contrôlées par l'attaquant. Ces jetons ont été immédiatement déposés dans Aave V3 en tant que garantie, permettant à l'attaquant d'emprunter de grandes quantités de WETH réel contre une garantie totalement fictive. Dommages totaux : 292 millions de USDT, le plus grand exploit DeFi de 2026.
Progrès de la récupération Ce qui a été confirmé aujourd'hui
La récupération progresse mais reste incomplète. Le Conseil de sécurité d'Arbitrum a maintenant récupéré environ 70 millions de USDT en ETH liés à l'attaque, une augmentation par rapport aux 30 766 ETH rapportés plus tôt cette semaine. Ces fonds restent dans un portefeuille intermédiaire en attente d'une décision de gouvernance sur la méthodologie de distribution. Cependant, une grande partie des actifs volés a déjà été transférée via THORChain, compliquant considérablement la récupération complète. La multisignature de KelpDAO a gelé les contrats principaux peu après l'identification de l'exploit, ce qui a réussi à bloquer une seconde tentative de vol d'environ 95 millions de USDT, confirmant que les mécanismes de réponse d'urgence ont été activés correctement après la première brèche. Le taux global de récupération reste bien en dessous de 50 % des fonds volés au 24 avril.
Coalition de l'industrie DeFi United se forme
Le développement le plus important aujourd'hui est l'expansion officielle de l'initiative de récupération DeFi United, un effort de sauvetage coordonné à l'échelle de l'industrie dirigé par Aave pour stabiliser le backing rsETH et éliminer la dette impayée sur les plateformes de prêt affectées. Les contributions confirmées au 24 avril incluent le fondateur d'Aave, Stani Kulechov, qui s'est personnellement engagé à fournir 5 000 ETH de ses propres fonds, déclarant : « Aave est mon œuvre de toute une vie et nous travaillons sans relâche pour trouver la meilleure solution pour les utilisateurs. » La gouvernance d'EtherFi a reçu une approbation écrasante de 1 800 détenteurs de jetons, autorisant une contribution allant jusqu'à 5 000 ETH provenant de sa trésorerie DAO. Lido Finance a engagé jusqu'à 2 500 stETH exclusivement pour combler le déficit de backing rsETH. La Fondation Golem et Golem Factory ont conjointement contribué 1 000 ETH de leurs trésoreries. LayerZero a également proposé une contribution pour restaurer le backing rsETH, déclarant qu'elle a travaillé en étroite coordination avec Aave, EtherFi, Ethena, Arbitrum et Kelp tout au long du processus. Tydro, Ink Foundation et Mantle ont tous rejoint la coalition, Mantle proposant un prêt structuré important pour soutenir la position de liquidité d'Aave. En une semaine, une feuille de route détaillée, incluant toutes les entités impliquées et les méthodologies de distribution des fonds, devrait être publiée.
Statut de gel de la réserve officielle d'Aave
Le Guardian d'Aave a lancé des gels d'urgence sur les marchés rsETH et wrsETH dans toutes les déploiements en 77 minutes après l'exploitation initiale, à 18h52 UTC le 18 avril. Au 24 avril, les réserves de rsETH restent en pause sur Ethereum Core, Arbitrum, Base, Mantle et Linea, Aave précisant que cette pause prolongée est conçue pour maximiser la récupération des fonds à mesure que les plans de résolution avancent. La gouvernance d'Aave a désactivé les marchés rsETH sur les déploiements V3 et V4. Tous les autres pools Aave restent entièrement sûrs et opérationnels, l'incident étant limité à rsETH et ne reflétant aucune vulnérabilité du protocole Aave lui-même.
Contagion plus large dans DeFi La photo complète des dégâts
La contagion s'est étendue bien au-delà de KelpDAO. Aave a enregistré 6 200 millions de USDT en sorties nettes, une réduction de 23 %. Morpho a perdu 716 millions de USDT, en baisse de 9 %. Sky protocol a perdu 272 millions de USDT, en baisse de 4 %. JupLend a perdu 76 millions de USDT, en baisse de 8 %. La TVL totale de DeFi a chuté d'environ 10 milliards de USDT immédiatement après l'attaque, JPMorgan estimant l'impact plus large de l'écosystème à 20 milliards de USDT. Lido a suspendu son produit EarnETH, qui représentait environ 9 % de sa TVL directement exposée à rsETH de KelpDAO, et a déployé une réserve de liquidité de 3 millions de USDT tout en traitant les retraits pour les demandes pré-incident à des évaluations pré-attaque. DVV, GGV et EarnUSD de Lido ont confirmé une exposition directe nulle à rsETH et continuent de fonctionner normalement. SparkLend et Fluid ont tous deux mis en pause d'urgence l'exposition à rsETH. Les taux d'intérêt basés sur l'utilisation ont explosé sur plusieurs plateformes de prêt, forçant la désendettement des emprunteurs et des ajustements de portefeuille dans tout l'écosystème.
État actuel des fonds des utilisateurs par type de position
La sécurité des fonds des utilisateurs dépend entièrement du produit et de la chaîne sur lesquels ils ont été exposés.
Les détenteurs de rsETH sur le réseau principal Ethereum, soutenus par des dépôts légitimes d'EigenLayer, conservent leur garantie sous-jacente. Les délégations EigenLayer ont été confirmées comme étant entièrement intactes et n'ont jamais été compromises. Les utilisateurs d'Aave avec des positions non-rsETH dans tous les pools sont entièrement en sécurité et non affectés. Les utilisateurs détenant du rsETH wrapped sur des réseaux Layer 2 font face à une incertitude réelle : la réserve de pont qui soutient ces jetons est cassée, et la distribution des pertes entre les chaînes n'a pas encore été formellement déterminée. Les utilisateurs ayant soumis des retraits EarnETH avant la crise de liquidité seront remboursés à la valeur pré-incident. Les demandes de retrait ultérieures seront traitées après la normalisation des conditions de liquidité. La guidance officielle de tous les protocoles affectés reste inchangée : ne pas interagir avec rsETH sur aucune chaîne jusqu'à ce qu'une résolution formelle soit annoncée.
Patch de sécurité Ce qui a changé
La configuration DVN 1-sur-1 qui a permis cette attaque a été identifiée comme la vulnérabilité racine définitive et ne apparaîtra dans aucune future déploiement de KelpDAO ou LayerZero. LayerZero a reconnu avoir recommandé des configurations multi-DVN à KelpDAO avant l'exploitation, mais que son protocole permettait encore des déploiements 1-sur-1, une lacune qu'il s'engage maintenant à corriger au niveau du protocole. Le chercheur en sécurité on-chain banteg a publiquement identifié que plusieurs autres projets exploitaient encore des configurations de pont 1-sur-1 au 19 avril, notamment sur Arbitrum, Base et BSC, déclenchant des revues de sécurité urgentes dans tout l'écosystème DeFi. Une norme minimale de vérification multi-DVN 2-sur-3 est désormais adoptée comme référence dans l'industrie pour tous les déploiements de ponts à haute valeur.
Sentiment des investisseurs Peur ou opportunité
Le sentiment du marché autour de rsETH reste profondément négatif et le restera jusqu'à ce que la feuille de route de récupération DeFi United soit officiellement publiée et que la distribution de la dette impayée soit confirmée. Cependant, le secteur DeFi plus large montre des signes précoces d'une opération de fuite vers des alternatives non affectées, avec un capital qui se déplace des protocoles touchés vers des options non compromises. Santiment a confirmé ce pattern émergent six jours après la chute de Kelp. La rapidité et l'ampleur de la coalition DeFi United, avec plus de 13 500 ETH déjà engagés par des contributeurs confirmés, surpassent toute précédente tentative de récupération après exploit DeFi et indiquent une maturité significative de l'écosystème. Le fait que 1 800 détenteurs de jetons EtherFi aient voté massivement pour déployer des capitaux de récupération confirme que les mécanismes de gouvernance DeFi peuvent se mobiliser à la vitesse de crise lorsque l'enjeu est élevé.
Leçons pour la sécurité DeFi Ce que cela change de façon permanente
Trois changements structurels sont désormais en cours dans DeFi, directement liés à cette exploitation. Premièrement, les configurations DVN 1-sur-1 sont en train d'être éliminées de tous les principaux protocoles de ponts : l'attaque de KelpDAO a montré qu'une seule compromission de validateur peut drainer des centaines de millions en quelques minutes. Deuxièmement, la surveillance en temps réel des invariants, suivant les ratios de verrouillage à frappe, sur toutes les chaînes simultanément, devient une exigence de sécurité essentielle, et non une option. Troisièmement, les limites de concentration de TVL des ponts entrent dans les discussions de gouvernance des principaux protocoles : aucun pont ne devrait détenir seul la garantie de réserve pour un pourcentage significatif de l'offre en circulation d'un jeton sans dispositifs automatiques de coupure.
Chronologie de la récupération
Le calendrier de résolution de base est de 30 à 60 jours pour que la feuille de route DeFi United s'exécute, que la dette impayée soit distribuée, et que les marchés rsETH commencent à rouvrir chaîne par chaîne, en commençant par le réseau principal Ethereum. La meilleure hypothèse pour la récupération de rsETH dépend de trois variables convergentes : la finalisation des engagements de capitaux de DeFi United dans une semaine, l'approbation par le Conseil de sécurité d'Arbitrum de la distribution des fonds récupérés de 70 millions de USDT, et l'absence de mouvements supplémentaires de THORChain par l'attaquant qui compliqueraient davantage la forensique on-chain.
Pour les détenteurs existants de rsETH, il s'agit d'une situation de maintien et de surveillance, pas de vente en période d'illiquidité ni d'achat tant que la voie de récupération officielle n'est pas confirmée. Pour l'écosystème DeFi plus large, l'initiative DeFi United représente la réponse de crise la plus coordonnée de l'histoire du secteur. Si elle réussit, elle établira une nouvelle norme sur la façon dont DeFi gère les événements black swan. Si elle échoue, la pression réglementaire pour une assurance DeFi obligatoire et des audits de sécurité des ponts deviendra politiquement inévitable.
L'attaque est terminée. La récupération a commencé. Le résultat dépendra de la capacité des plus grands noms de DeFi à tenir leurs plus grands engagements.
