DeFi à nouveau victime d'un vol de 292 millions de dollars, même Aave n'est plus sûr ?

Odaily星球日报Publié le 2026-04-18Dernière mise à jour le 2026-04-18

Résumé

**Résumé en français :** Le 19 avril, le protocole de staking liquide Kelp DAO a subi une attaque majeure via son contrat de bridge rsETH basé sur LayerZero, entraînant le vol d'environ 116 500 rsETH, d'une valeur estimée à 292 millions de dollars. L'attaque, initiée par une adresse financée via Tornado Cash, aurait été causée par la compromission d'une clé privée sur la chaîne source. Pour convertir les rsETH volés, l'attaquant les a déposés comme garantie sur des protocoles de prêt tels qu'Aave V3, Compound V3 et Euler, empruntant ainsi plus de 236 millions de dollars en wETH. Aave a rapidement gelé le marché rsETH sur ses versions V3 et V4 et a annoncé examiner les emprunts effectués après l'attaque, tout en explorant des solutions pour couvrir d'éventuelles créances douteuses, potentiellement via son module de sécurité Umbrella (doté de 50 millions de dollars en actifs). Cet incident, le deuxième vol majeur en avril après l'attaque de Drift Protocol sur Solana (280 millions de dollars), soulève à nouveau des questions cruciales sur la sécurité dans le secteur DeFi, même pour les protocoles réputés comme Aave. Les experts recommandent aux utilisateurs de disperser leurs actifs et de rester prudents.

Original | Odaily Planet Daily(@OdailyChina)

Auteur|Azuma(@azuma_eth)

Le 19 avril, heure de Pékin, la sécurité de DeFi a subi un nouveau coup dur.

Les données on-chain montrent que vers 1h35 ce matin, le contrat de bridge rsETH du protocole de staking liquide Kelp DAO, basé sur LayerZero, a été exploité par des pirates, entraînant une perte de 116 500 rsETH, d'une valeur d'environ 292 millions de dollars.

En retraçant les enregistrements on-chain, l'adresse de l'attaquant a reçu environ 10 heures avant l'incident 1 ETH comme fonds initiaux du protocole de mixage Tornado Cash. Ensuite, cette adresse a appelé la fonction lzReceive du contrat LayerZero EndpointV2. Cet appel a déclenché le contrat de bridge de Kelp, transférant 116 500 rsETH vers une autre adresse de l'attaquant.

Environ 2 heures et demie après l'incident, Kelp DAO a confirmé l'attaque sur X : « Plus tôt aujourd'hui, nous avons détecté une activité cross-chain suspecte impliquant rsETH. Pendant l'enquête, nous avons suspendu les contrats rsETH sur le mainnet et plusieurs Layer2. Nos auditeurs collaborent avec les experts en sécurité de LayerZero et Unichain et suivent la situation de près. Nous vous tiendrons informés des dernières nouvelles, veuillez suivre les canaux officiels. »

Après l'incident, divers projets DeFi et agences de sécurité ont analysé la cause de l'événement. L'analyse de D2 Finance a été largement citée dans la communauté — LayerZero Scan a marqué la contrepartie de cette source comme Kelp DAO, ce qui signifie que le message provenait du contrat de contrepartie déployé légalement par Kelp lui-même, et ce chemin avait déjà 308 enregistrements de nonce de message. Par conséquent, la cause fondamentale de cette attaque est « la compromission de la clé privée de la chaîne source ».

Steven Enamakel, développeur chez TinyHumans AI, a ajouté que ce contrat n'était sécurisé que par un ensemble de validateurs 1/1 (DVN), ce qui signifie qu'il suffisait qu'un validateur envoie une transaction erronée pour provoquer un problème.

Le pirate s'échappe via Aave, créant疑似 des créances douteuses

En raison de la liquidité limitée des transactions rsETH elle-même, la stratégie d'évasion choisie par le pirate a été de passer par des protocoles de prêt comme Aave, de mettre en gage les rsETH volés et d'emprunter des wETH plus liquides.

La surveillance de PeckShield Alert montre qu'à 4h30 ce matin, l'adresse du pirate avait déjà déposé les rsETH volés dans les protocoles de prêt Aave V3, Compound V3, Euler, etc., et avait emprunté une grande quantité de WETH, pour un total de dettes dépassant 236 millions de dollars — dont seulement la plateforme Aave représentait 196 millions de dollars de dette, Compound 39,4 millions de dollars, et Euler seulement 840 000 dollars.

Après l'incident, Aave a gelé immédiatement le marché rsETH sur Aave V3 et V4. L'équipe a ensuite publié une déclaration officielle sur X : « Les contrats Aave n'ont pas été attaqués, cette attaque est liée à rsETH. Le gel de rsETH vise à bloquer les nouveaux dépôts et emprunts garantis par rsETH pendant l'évaluation de la situation. Nous examinons les informations sur les emprunts de rsETH sur Aave après l'attaque et partagerons plus de détails dès que possible. »

Peu après la déclaration initiale, Aave a mis à jour la publication, ajoutant à la fin : « Si le protocole accumule des créances douteuses à la suite de cet incident, nous explorerons des moyens de combler le déficit. »

Au moment de la rédaction, le montant spécifique des créances douteuses causées par cet incident n'est pas clair.

monetsupply.eth, responsable de la stratégie de Spark, concurrent direct d'Aave, a déclaré que si le rsETH subissait une décote de 19 % (le montant volé représentant 19 % de l'offre totale de rsETH), Aave pourrait générer plus de 100 millions de dollars de créances douteuses en raison des emprunts circulaires à effet de levier élevé.

Cependant, Marc Zeller, fondateur d'Aave Chan Initiative (ACI), un groupe de gouvernance représentatif de l'écosystème Aave (qui a annoncé qu'il quitterait Aave en juillet en raison de divergences de gouvernance), a exprimé un point de vue différent. Zeller, qui avait initialement conseillé aux utilisateurs de retirer rapidement les WETH d'Aave V3 pour éviter les pertes, et confirmé que les marchés USDC et USDT sur Aave n'étaient pas affectés, a répondu à un autre utilisateur qui spéculait sur des « créances douteuses pouvant atteindre des centaines de millions » en disant : « Bien inférieur à ce chiffre. »

Mais Marc Zeller a également mentionné qu'il était temps de tester Umbrella en conditions réelles. Umbrella est le module de sécurité automatique d'Aave,简单来说 c'est un pool de fonds pour faire face aux créances douteuses. Les utilisateurs peuvent y déposer des actifs pour obtenir des incitations plus élevées, mais en cas de créances douteuses sur le protocole, ce pool doit également assumer les pertes potentielles.

Les données du protocole Aave montrent que Umbrella dispose actuellement d'environ 50 millions de dollars de WETH pouvant être utilisés pour faire face aux créances douteuses potentielles de cet incident, mais on ne sait pas encore si cela suffira à combler le trou.

Sous l'effet de cet incident, le prix d'AAVE a chuté de près de 10 % à court terme, s'échangeant à 104,6 USDT au moment de la rédaction.

Un autre incident de sécurité de centaines de millions en avril

Ce n'est pas le premier incident de sécurité majeur survenu ce mois-ci.

Dès le 1er avril, le protocole de trading de produits dérivés Drift Protocol sur Solana avait été attaqué, subissant des pertes s'élevant à 280 millions de dollars (voir « Poisson d'avril ? Drift Protocol victime d'un vol de plus de 280 millions de dollars, potentiellement le deuxième plus grand cas de vol DeFi sur Solana »).

Après coup, Drift Protocol a directement rejeté la responsabilité du vol sur des « pirates nord-coréens », mais heureusement, Tether et d'autres institutions se sont engagés à injecter 147,5 millions de dollars pour indemniser les utilisateurs, offrant ainsi un espoir de compensation.

À peine quelques semaines plus tard, une autre attaque de pirate de plus grande ampleur éclate. Comment celle-ci va-t-elle se terminer ?

Y a-t-il encore des endroits sûrs dans le DeFi ?

Les problèmes de sécurité du DeFi s'aggravent.

D'un côté, des attaques de pirates incessantes, de l'autre, les menaces persistantes pour la sécurité posées par l'IA comme Mythos (voir « Interview d'Odaily avec Yu Xian : Comment la fuite du nouveau modèle nucléaire d'Anthropic affecte-t-elle l'attaque et la défense de la sécurité crypto ? »). Pour les utilisateurs DeFi, la contre-mesure précédente était de concentrer les fonds vers des protocoles de tête, bien audités et de bonne réputation. Mais maintenant, même un protocole de premier plan comme Aave, que les petits investisseurs considéraient subconsciemment comme extrêmement peu susceptible d'avoir des problèmes, est indirectement touché. Où les utilisateurs peuvent-ils encore déplacer leurs fonds ?

Personnellement, il n'est vraiment pas conseillé actuellement aux utilisateurs de laisser des fonds importants on-chain. Si cela est vraiment nécessaire, veuillez absolument disperser et isoler les positions.

Au moment de la rédaction, de nombreux détails sur cet incident restent flous. Odaily suivra l'évolution de la situation, restez à l'écoute.

Questions liées

QQuel est la valeur totale des fonds volés lors de l'attaque contre Kelp DAO et quel actif a été dérobé ?

AL'attaque a entraîné le vol de 116 500 rsETH, d'une valeur d'environ 292 millions de dollars.

QQuelle est la cause fondamentale de cette attaque selon l'analyse de D2 Finance ?

ALa cause fondamentale de l'attaque est la compromission de la clé privée de la chaîne source ("source chain private key was compromised").

QQuelle plateforme de prêt a été la plus touchée par la stratégie de fuite du pirate utilisant le rsETH volé comme garantie ?

ALa plateforme Aave a été la plus touchée, avec une dette de 196 millions de dollars contractée par le pirate en utilisant le rsETH volé comme garantie pour emprunter des wETH.

QQuel mécanisme Aave possède-t-il pour couvrir les pertes en cas de créances douteuses (bad debt), et quelle est sa taille approximative ?

AAave dispose d'un module de sécurité automatique appelé Umbrella, qui contient actuellement environ 50 millions de dollars en WETH pour couvrir les créances douteuses potentielles.

QComment Kelp DAO a-t-il réagi après la découverte de l'attaque ?

AKelp DAO a confirmé l'attaque, a suspendu les contrats rsETH sur le mainnet et sur plusieurs réseaux de Layer 2, et collabore avec des auditeurs et des experts en sécurité de LayerZero et Unichain pour enquêter.

Lectures associées

Apple convoite l'IA embarquée, et un outsider émerge : le premier modèle cognitif voit le jour, 4B paramètres rivalisent avec GPT-5.4

Apple a mis en avant une renaissance de Siri propulsée par l’IA lors de la WWDC, tandis qu’Amazon a dû freiner l’utilisation interne de modèles volumineux en raison de coûts de calcul explosifs. Face à ce défi des “tokens”, Andrej Karpathy a suggéré de créer un “noyau cognitif” — un modèle déchargé des connaissances factuelles mais conservant des capacités de raisonnement. La société chinoise Nextie a concrétisé cette vision avec **Alpha**, un **modèle cognitif de 4B paramètres** qui, dans des tâches d’intelligence collective (débat, réflexion, vote), atteint des performances équivalentes à celles de modèles de milliers de milliards de paramètres comme GPT-5.4. Conçu pour être déployé en périphérie (sur MacBook ou robots embarqués), Alpha réduit radicalement les coûts de calcul et ouvre la voie à des agents **proactifs** capables d’agir de manière autonome, au lieu de simples réponses aux requêtes. L’équipe, issue de Microsoft XiaoIce, s’était déjà distinguée avec un petit modèle performant. Nextie se positionne sur le créneau des systèmes multi-agents, un domaine validé par des investissements récents comme celui d’OpenAI dans Isara. En résumé, ce modèle cognitif ne change pas seulement l’échelle des paramètres, mais aussi **l’équation économique** de l’IA, rendant viable une intelligence continue et proactive à faible coût.

marsbitIl y a 1 h

Apple convoite l'IA embarquée, et un outsider émerge : le premier modèle cognitif voit le jour, 4B paramètres rivalisent avec GPT-5.4

marsbitIl y a 1 h

Hoskinson affirme que Cardano peut surpasser Bitcoin en résolvant le problème de confiance des cryptos

Charles Hoskinson, fondateur de Cardano, affirme que la plateforme vise bien plus qu'une simple part du marché des cryptomonnaies : elle ambitionne de devenir l'infrastructure mondiale de la confiance. Lors d'un livestream, il a présenté l'objectif à long terme d'ADA comme étant la réduction de la dépendance aux tiers de confiance dans le commerce mondial, un secteur qui génère des coûts annuels de centaines de milliards de dollars. La solution proposée est la "réflexivité vérifiable", où chaque transaction ou élément porte sa propre preuve de validité, éliminant le besoin d'un intermédiaire. Hoskinson explique que les blockchains servent de couche de stockage pour ces transactions, tandis que les contrats intelligents et les preuves à connaissance nulle en permettent l'utilité. Il met en avant les atouts de Cardano pour y parvenir : le protocole Ouroboros pour une décentralisation accrue, le modèle UTXO étendu pour la détermination locale, Hydra pour la mise à l'échelle, et une approche modulaire via des chaînes partenaires comme Midnight. Le défi majeur reste la gouvernance, nécessaire pour créer un système autonome capable de survivre, même en cas de perte de confiance en son fondateur. Si Cardano réussit à construire ce système de confiance vérifiable, Hoskinson estime que sa cryptomonnaie pourrait devenir "la monnaie de la confiance mondiale" et dépasser un jour Bitcoin. Au moment de la publication, ADA s'échangeait à 0,16 dollar.

bitcoinistIl y a 1 h

Hoskinson affirme que Cardano peut surpasser Bitcoin en résolvant le problème de confiance des cryptos

bitcoinistIl y a 1 h

Arthur Hayes dans un nouvel article : La bulle de l'IA approche de son éclatement, le marché crypto sous pression à court terme

Arthur Hayes, cofondateur de BitMEX, analyse dans cet article les tensions géopolitiques actuelles et leurs implications sur les marchés financiers. Il estime que la hausse des prix du pétrole, liée au conflit entre les États-Unis et l'Iran autour du détroit d'Hormuz, exercera une pression inflationniste et influencera la campagne présidentielle américaine de novembre. Pour reconquérir les électeurs préoccupés par le coût de la vie, Hayes prédit que Donald Trump pourrait adopter un discours critique envers l'industrie de l'intelligence artificielle, promettant régulation et taxation. Une telle rhétorique, même tactique, pourrait provoquer un éclatement de la bulle des actions AI, d'autant plus que le secteur est déjà vulnérable à la hausse des coûts énergétiques et à l'introduction en bourse massive prévue de SpaceX, Anthropic et OpenAI. Hayes explique que la liquidité monétaire récente a été entièrement absorbée par le boom de l'IA, laissant peu de capitaux pour le bitcoin. Une correction sévère des actions AI entraînerait donc probablement une pression vendeuse sur l'ensemble des actifs risqués, y compris les cryptomonnaies. En conséquence, son fonds, Maelstrom, a vendu ses actions AI, réduit ses positions cryptos secondaires et se concentre désormais sur le pétrole et le gaz, ainsi que sur le bitcoin et l'ether en vue d'une reprise future après un éventuel krach et une nouvelle réponse monétaire accommodante des banques centrales.

marsbitIl y a 2 h

Arthur Hayes dans un nouvel article : La bulle de l'IA approche de son éclatement, le marché crypto sous pression à court terme

marsbitIl y a 2 h

Le « plan pour l'avenir » d'OpenAI : rendre l'IA bénéfique pour chaque personne dans le monde

Toutes les quelques générations, une nouvelle technologie transforme radicalement la société, à l’image de l’électricité au XXe siècle. L'électricité, initialement conçue pour simplifier la vie, a finalement ouvert de vastes possibilités, prolongé l’espérance de vie et accru la prospérité. L'IA est aujourd’hui à l’aube d’un impact similaire. Le potentiel de l’IA ne réside pas dans la technologie elle-même, mais dans ce que les gens peuvent en faire : comprendre une facture médicale, apprendre, créer une entreprise, accompagner des proches, concrétiser des idées ou faire avancer la science. OpenAI est convaincu que l’IA doit être accessible à tous, partout et selon les besoins de chacun, pour servir l’humanité et amplifier ses capacités, sans la remplacer. L’automatisation totale n’est pas un avenir souhaitable. Cette vision repose sur trois objectifs clés : construire un chercheur en IA automatisé pour accélérer la recherche (avec pour perspective qu’une part significative des travaux d’OpenAI soit menée en collaboration avec l’IA d’ici 2028) ; accélérer le progrès économique tout en veillant à une large répartition des bénéfices ; et offrir à chacun sur Terre un AGI personnel pour bénéficier de cette technologie transformatrice. Pour y parvenir, OpenAI souligne que des avancées rapides rendent le jugement humain et la coopération mondiale plus essentiels que jamais. La sécurité, l’alignement sur les valeurs humaines et une coordination internationale sont fondamentales pour gérer les risques. L’avenir doit être façonné collectivement, et non par une poignée d’entreprises. Enfin, une distribution large du pouvoir est vue comme la clé d’un futur meilleur et plus résilient. Un avenir où l’IA profite réellement à l’humanité doit être construit et partagé par de nombreuses personnes, entreprises, communautés et nations. Si elle est réalisée correctement, l’IA peut devenir une pierre angulaire pour la productivité, la créativité et la prospérité de tous.

marsbitIl y a 2 h

Le « plan pour l'avenir » d'OpenAI : rendre l'IA bénéfique pour chaque personne dans le monde

marsbitIl y a 2 h

Bitcoin Se Déroule Selon le Plan : L'Analyste Qui Avait Prédit 59 000 $ Révèle la Suite

Malgré le crash du Bitcoin à 59 000 $ qui a déclenché une peur extrême sur le marché des crypto-monnaies, l'analyste Alex Mason y voit un mouvement attendu et conforme au plan. Selon son analyse, cette chute signifie que le prix du Bitcoin entre dans la phase finale du marché baissier, se rapprochant de son plus bas. La récente reprise à 61 000 $ confirme cette étape. Mason prédit que le prochain mouvement sera un rebond vers 65 000 $, suivi d'un crash majeur vers 57 000 $. Cette correction devrait ensuite s'approfondir pour atteindre les 40 000 $, avec un support crucial autour de 47 000 $. C'est à partir de ce niveau que le véritable rallye haussier débuterait, propulsant le prix du Bitcoin vers un objectif à long terme de 200 000 $, soit une augmentation de plus de 200 %. L'analyste, s'appuyant sur des outils comme le « Bitcoin Rainbow Chart », avait précédemment évoqué un sommet de cycle pouvant atteindre 400 000 $ d'ici 2029.

bitcoinistIl y a 2 h

Bitcoin Se Déroule Selon le Plan : L'Analyste Qui Avait Prédit 59 000 $ Révèle la Suite

bitcoinistIl y a 2 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow