Une attaque de 292 millions de dollars déclenche une dispute, Aave confronté à un risque de 230 millions de dollars lié à une exposition collatérale sur le rsETH à effet de levier.
Kelp DAO a répondu aux critiques croissantes suite à une importante attaque sur un pont inter-chaînes ayant drainé environ 292 millions de dollars d’actifs. Des tensions sont apparues entre Kelp DAO et LayerZero concernant la responsabilité de la faille. Parallèlement, l’incident a créé des remous dans toute la DeFi, en particulier sur les marchés de prêt d’Aave. L’attention se porte désormais sur la gestion des pertes et la possibilité de contenir les risques systémiques.
LayerZero pointe un échec de validation dans le piratage de Kelp DAO, l’équipe défend sa configuration
Kelp DAO a publié un communiqué lundi, cherchant à se distancier de toute responsabilité directe dans l’exploitation de la faille. La brèche s’est produite le 18 avril, lorsque les attaquants ont détourné 116 500 jetons rsETH depuis son pont basé sur LayerZero. Ce montant place l’incident parmi les plus importantes attaques DeFi enregistrées cette année.
Selon LayerZero, les attaquants ont obtenu l’accès à des infrastructures critiques liées à son réseau vérifié décentralisé (DVN). Les enquêteurs estiment que le groupe derrière l’attaque pourrait être lié au Lazarus Group de Corée du Nord. R
Les rapports indiquent que des données de nœuds RPC compromises ont permis aux attaquants de corrompre deux nœuds. Une attaque DDoS coordonnée a ensuite forcé le DVN à accepter un message inter-chaînes frauduleux, ce qui a finalement conduit à la signature d’une transaction non autorisée.
Le rapport de LayerZero a désigné l’utilisation par Kelp DAO d’une configuration DVN 1-sur-1 comme une vulnérabilité clé. Cette configuration signifiait qu’une seule source de vérification était requise pour approuver les transactions. Sans validateurs indépendants supplémentaires, le système manquait de garde-fous pour détecter les messages manipulés. LayerZero a déclaré avoir précédemment conseillé à Kelp DAO d’adopter une configuration plus distribuée.
— LayerZero (@LayerZero_Core) April 20, 2026
Kelp DAO a contesté ces affirmations. Dans sa réponse, l’équipe a déclaré que le modèle DVN 1-sur-1 suivait les paramètres de déploiement par défaut de LayerZero. Le protocole a également noté une communication continue avec LayerZero depuis début 2024. Pendant son expansion vers les réseaux de Layer 2, Kelp a indiqué que la configuration avait été examinée et approuvée comme étant adaptée.
Le piratage de Kelp DAO se propage à Aave, déclenchant un scénario à risque de 221 millions de dollars sur les collatéraux
Les efforts pour gérer les retombées ont commencé peu après l’exploitation de la faille. Kelp DAO a confirmé avoir suspendu les contrats affectés et mis sur liste noire les portefeuilles liés à l’attaquant. Ces mesures ont aidé à limiter les dégâts supplémentaires, bien qu’une grande partie des fonds ait déjà été déplacée.
Les conséquences se sont rapidement étendues au-delà de l’écosystème de Kelp DAO. Une part importante du rsETH volé a été déposée sur la plateforme Aave V3. L’attaquant a utilisé ces actifs comme collatéral pour emprunter de grandes quantités de WETH et de wstETH. Cette activité a suscité des inquiétudes concernant de potentielles créances douteuses au sein des pools de prêt d’Aave.
Le rapport d’incident d’Aave a détaillé l’ampleur de l’exposition. Les données montrent que l’attaquant a fourni 89 567 rsETH, d’une valeur proche de 221 millions de dollars, comme collatéral. Contre cela, 82 650 WETH et 821 wstETH ont été empruntés. Ces positions affichent désormais des facteurs de santé dangereusement bas, augmentant la probabilité de pénuries de liquidités.
Aave a décrit deux scénarios potentiels pour la répartition des pertes. Un premier scénario suppose que les pertes soient réparties uniformément entre tous les détenteurs de rsETH. Selon ce modèle, un décrochage de 15,12% se produirait, créant environ 123,7 millions de dollars de créances douteuses. Ethereum subirait la plus grande perte absolue, bien que sa profondeur de liquidité puisse absorber une grande partie de l’impact. Les réseaux plus petits comme Mantle subiraient une tension proportionnelle plus élevée.
Un scénario alternatif suppose que les pertes restent confinées aux déploiements sur les Layer 2. Dans ce cas, le collatéral rsETH sur L2 subirait une décote de 73,54%. Les créances douteuses qui en résulteraient pourraient atteindre 230,1 millions de dollars sur des réseaux tels qu’Arbitrum, Base et Mantle. Ce résultat présente un stress localisé plus important mais laisse le mainnet d’Ethereum largement épargné.
Le fonds de sécurité de 54 millions de dollars d’Aave face à ses limites alors que les retombées de l’attaque s’aggravent
Aave a noté que son fonds de réserve WETH Umbrella de 54 millions de dollars pourrait servir de tampon initial dans le premier scénario. Cependant, cette sauvegarde ne s’appliquerait pas si les pertes sont confinées aux marchés des Layer 2. Les résultats finaux dépendent fortement de la manière dont Kelp DAO ajustera ses mécanismes de comptabilité et d’oracle de prix.
Malgré l’incertitude, Aave maintient une position financière relativement solide. Le DAO détient actuellement environ 181 millions de dollars d’actifs. Il a également rapporté avoir reçu des engagements de soutien de la part de participants de l’écosystème en cas de matérialisation des pertes.
L’attention se porte désormais sur la coordination entre Kelp DAO, LayerZero et les protocoles affectés. Des décisions claires sur l’allocation des pertes et les étapes de récupération détermineront l’impact plus large. Pour l’instant, l’incident sert de nouveau rappel des risques liés aux infrastructures inter-chaînes et aux systèmes de validation concentrés.
Laisser un commentaire