DeFi à nouveau victime d'un vol de 292 millions de dollars, même Aave n'est plus sûr ?

Odaily星球日报Publié le 2026-04-18Dernière mise à jour le 2026-04-18

Résumé

**Résumé en français :** Le 19 avril, le protocole de staking liquide Kelp DAO a subi une attaque majeure via son contrat de bridge rsETH basé sur LayerZero, entraînant le vol d'environ 116 500 rsETH, d'une valeur estimée à 292 millions de dollars. L'attaque, initiée par une adresse financée via Tornado Cash, aurait été causée par la compromission d'une clé privée sur la chaîne source. Pour convertir les rsETH volés, l'attaquant les a déposés comme garantie sur des protocoles de prêt tels qu'Aave V3, Compound V3 et Euler, empruntant ainsi plus de 236 millions de dollars en wETH. Aave a rapidement gelé le marché rsETH sur ses versions V3 et V4 et a annoncé examiner les emprunts effectués après l'attaque, tout en explorant des solutions pour couvrir d'éventuelles créances douteuses, potentiellement via son module de sécurité Umbrella (doté de 50 millions de dollars en actifs). Cet incident, le deuxième vol majeur en avril après l'attaque de Drift Protocol sur Solana (280 millions de dollars), soulève à nouveau des questions cruciales sur la sécurité dans le secteur DeFi, même pour les protocoles réputés comme Aave. Les experts recommandent aux utilisateurs de disperser leurs actifs et de rester prudents.

Original | Odaily Planet Daily(@OdailyChina)

Auteur|Azuma(@azuma_eth)

Le 19 avril, heure de Pékin, la sécurité de DeFi a subi un nouveau coup dur.

Les données on-chain montrent que vers 1h35 ce matin, le contrat de bridge rsETH du protocole de staking liquide Kelp DAO, basé sur LayerZero, a été exploité par des pirates, entraînant une perte de 116 500 rsETH, d'une valeur d'environ 292 millions de dollars.

En retraçant les enregistrements on-chain, l'adresse de l'attaquant a reçu environ 10 heures avant l'incident 1 ETH comme fonds initiaux du protocole de mixage Tornado Cash. Ensuite, cette adresse a appelé la fonction lzReceive du contrat LayerZero EndpointV2. Cet appel a déclenché le contrat de bridge de Kelp, transférant 116 500 rsETH vers une autre adresse de l'attaquant.

Environ 2 heures et demie après l'incident, Kelp DAO a confirmé l'attaque sur X : « Plus tôt aujourd'hui, nous avons détecté une activité cross-chain suspecte impliquant rsETH. Pendant l'enquête, nous avons suspendu les contrats rsETH sur le mainnet et plusieurs Layer2. Nos auditeurs collaborent avec les experts en sécurité de LayerZero et Unichain et suivent la situation de près. Nous vous tiendrons informés des dernières nouvelles, veuillez suivre les canaux officiels. »

Après l'incident, divers projets DeFi et agences de sécurité ont analysé la cause de l'événement. L'analyse de D2 Finance a été largement citée dans la communauté — LayerZero Scan a marqué la contrepartie de cette source comme Kelp DAO, ce qui signifie que le message provenait du contrat de contrepartie déployé légalement par Kelp lui-même, et ce chemin avait déjà 308 enregistrements de nonce de message. Par conséquent, la cause fondamentale de cette attaque est « la compromission de la clé privée de la chaîne source ».

Steven Enamakel, développeur chez TinyHumans AI, a ajouté que ce contrat n'était sécurisé que par un ensemble de validateurs 1/1 (DVN), ce qui signifie qu'il suffisait qu'un validateur envoie une transaction erronée pour provoquer un problème.

Le pirate s'échappe via Aave, créant疑似 des créances douteuses

En raison de la liquidité limitée des transactions rsETH elle-même, la stratégie d'évasion choisie par le pirate a été de passer par des protocoles de prêt comme Aave, de mettre en gage les rsETH volés et d'emprunter des wETH plus liquides.

La surveillance de PeckShield Alert montre qu'à 4h30 ce matin, l'adresse du pirate avait déjà déposé les rsETH volés dans les protocoles de prêt Aave V3, Compound V3, Euler, etc., et avait emprunté une grande quantité de WETH, pour un total de dettes dépassant 236 millions de dollars — dont seulement la plateforme Aave représentait 196 millions de dollars de dette, Compound 39,4 millions de dollars, et Euler seulement 840 000 dollars.

Après l'incident, Aave a gelé immédiatement le marché rsETH sur Aave V3 et V4. L'équipe a ensuite publié une déclaration officielle sur X : « Les contrats Aave n'ont pas été attaqués, cette attaque est liée à rsETH. Le gel de rsETH vise à bloquer les nouveaux dépôts et emprunts garantis par rsETH pendant l'évaluation de la situation. Nous examinons les informations sur les emprunts de rsETH sur Aave après l'attaque et partagerons plus de détails dès que possible. »

Peu après la déclaration initiale, Aave a mis à jour la publication, ajoutant à la fin : « Si le protocole accumule des créances douteuses à la suite de cet incident, nous explorerons des moyens de combler le déficit. »

Au moment de la rédaction, le montant spécifique des créances douteuses causées par cet incident n'est pas clair.

monetsupply.eth, responsable de la stratégie de Spark, concurrent direct d'Aave, a déclaré que si le rsETH subissait une décote de 19 % (le montant volé représentant 19 % de l'offre totale de rsETH), Aave pourrait générer plus de 100 millions de dollars de créances douteuses en raison des emprunts circulaires à effet de levier élevé.

Cependant, Marc Zeller, fondateur d'Aave Chan Initiative (ACI), un groupe de gouvernance représentatif de l'écosystème Aave (qui a annoncé qu'il quitterait Aave en juillet en raison de divergences de gouvernance), a exprimé un point de vue différent. Zeller, qui avait initialement conseillé aux utilisateurs de retirer rapidement les WETH d'Aave V3 pour éviter les pertes, et confirmé que les marchés USDC et USDT sur Aave n'étaient pas affectés, a répondu à un autre utilisateur qui spéculait sur des « créances douteuses pouvant atteindre des centaines de millions » en disant : « Bien inférieur à ce chiffre. »

Mais Marc Zeller a également mentionné qu'il était temps de tester Umbrella en conditions réelles. Umbrella est le module de sécurité automatique d'Aave,简单来说 c'est un pool de fonds pour faire face aux créances douteuses. Les utilisateurs peuvent y déposer des actifs pour obtenir des incitations plus élevées, mais en cas de créances douteuses sur le protocole, ce pool doit également assumer les pertes potentielles.

Les données du protocole Aave montrent que Umbrella dispose actuellement d'environ 50 millions de dollars de WETH pouvant être utilisés pour faire face aux créances douteuses potentielles de cet incident, mais on ne sait pas encore si cela suffira à combler le trou.

Sous l'effet de cet incident, le prix d'AAVE a chuté de près de 10 % à court terme, s'échangeant à 104,6 USDT au moment de la rédaction.

Un autre incident de sécurité de centaines de millions en avril

Ce n'est pas le premier incident de sécurité majeur survenu ce mois-ci.

Dès le 1er avril, le protocole de trading de produits dérivés Drift Protocol sur Solana avait été attaqué, subissant des pertes s'élevant à 280 millions de dollars (voir « Poisson d'avril ? Drift Protocol victime d'un vol de plus de 280 millions de dollars, potentiellement le deuxième plus grand cas de vol DeFi sur Solana »).

Après coup, Drift Protocol a directement rejeté la responsabilité du vol sur des « pirates nord-coréens », mais heureusement, Tether et d'autres institutions se sont engagés à injecter 147,5 millions de dollars pour indemniser les utilisateurs, offrant ainsi un espoir de compensation.

À peine quelques semaines plus tard, une autre attaque de pirate de plus grande ampleur éclate. Comment celle-ci va-t-elle se terminer ?

Y a-t-il encore des endroits sûrs dans le DeFi ?

Les problèmes de sécurité du DeFi s'aggravent.

D'un côté, des attaques de pirates incessantes, de l'autre, les menaces persistantes pour la sécurité posées par l'IA comme Mythos (voir « Interview d'Odaily avec Yu Xian : Comment la fuite du nouveau modèle nucléaire d'Anthropic affecte-t-elle l'attaque et la défense de la sécurité crypto ? »). Pour les utilisateurs DeFi, la contre-mesure précédente était de concentrer les fonds vers des protocoles de tête, bien audités et de bonne réputation. Mais maintenant, même un protocole de premier plan comme Aave, que les petits investisseurs considéraient subconsciemment comme extrêmement peu susceptible d'avoir des problèmes, est indirectement touché. Où les utilisateurs peuvent-ils encore déplacer leurs fonds ?

Personnellement, il n'est vraiment pas conseillé actuellement aux utilisateurs de laisser des fonds importants on-chain. Si cela est vraiment nécessaire, veuillez absolument disperser et isoler les positions.

Au moment de la rédaction, de nombreux détails sur cet incident restent flous. Odaily suivra l'évolution de la situation, restez à l'écoute.

Questions liées

QQuel est la valeur totale des fonds volés lors de l'attaque contre Kelp DAO et quel actif a été dérobé ?

AL'attaque a entraîné le vol de 116 500 rsETH, d'une valeur d'environ 292 millions de dollars.

QQuelle est la cause fondamentale de cette attaque selon l'analyse de D2 Finance ?

ALa cause fondamentale de l'attaque est la compromission de la clé privée de la chaîne source ("source chain private key was compromised").

QQuelle plateforme de prêt a été la plus touchée par la stratégie de fuite du pirate utilisant le rsETH volé comme garantie ?

ALa plateforme Aave a été la plus touchée, avec une dette de 196 millions de dollars contractée par le pirate en utilisant le rsETH volé comme garantie pour emprunter des wETH.

QQuel mécanisme Aave possède-t-il pour couvrir les pertes en cas de créances douteuses (bad debt), et quelle est sa taille approximative ?

AAave dispose d'un module de sécurité automatique appelé Umbrella, qui contient actuellement environ 50 millions de dollars en WETH pour couvrir les créances douteuses potentielles.

QComment Kelp DAO a-t-il réagi après la découverte de l'attaque ?

AKelp DAO a confirmé l'attaque, a suspendu les contrats rsETH sur le mainnet et sur plusieurs réseaux de Layer 2, et collabore avec des auditeurs et des experts en sécurité de LayerZero et Unichain pour enquêter.

Lectures associées

Les bourses coréennes « en guerre » contre les autorités de régulation, repoussant les limites de l'application et de la législation

La Corée du Sud est le théâtre d’un conflit réglementaire sans précédent entre les principales plateformes d'échange de crypto-actifs et son régulateur anti-blanchiment, le Financial Intelligence Unit (FIU). Après des années de sanctions administratives lourdes, les échanges contestent désormais activement les décisions du FIU devant les tribunaux. La cour administrative de Séoul a récemment donné raison à Dunamu (opérateur d'Upbit) dans un litige concernant une suspension d'activité, estimant que le FIU n'avait pas suffisamment justifié la gravité de la sanction. Dans une autre affaire concernant Bithumb, le tribunal a suspendu l'exécution d'une lourde peine, craignant des dommages irréparables pour la plateforme. Ces décisions judiciaires imposent désormais au régulateur une charge de preuve plus stricte. Parallèlement, l'association professionnelle DAXA s'oppose à un projet de révision de la loi sur les informations financières spécifiques. L'industrie critique une disposition qui obligerait à signaler systématiquement tout transfert de crypto-actifs supérieur à 10 millions de wons (environ 6 800 dollars) comme transaction suspecte (STR). DAXA estime que cette approche basée uniquement sur le montant, et non sur le risque, submergerait le système de rapports et réduirait son efficacité. Ce conflit révèle une tension structurelle dans la régulation coréenne : un cadre législatif global sur les actifs numériques fait encore défaut, tandis que les actions du FIU, basées sur les règles anti-blanchiment, se font plus denses et sévères. Les échanges, par des recours juridiques et des interventions dans le débat législatif, remettent en question la légitimité et la proportionnalité des sanctions. Cette confrontation pourrait à terme conduire à un cadre réglementaire plus équilibré et durable pour l'industrie des crypto-actifs en Corée du Sud.

marsbitIl y a 35 mins

Les bourses coréennes « en guerre » contre les autorités de régulation, repoussant les limites de l'application et de la législation

marsbitIl y a 35 mins

Résultats financiers, CLARITY, Warsh en perspective, CRCL fait face à trois grands tests cette semaine

Circle (CRCL) fait face à une semaine cruciale avec trois événements majeurs susceptibles d’impacter son cours et sa valorisation. Le 11 mai, la publication des résultats du T1 2026 est attendue, avec un focus sur le chiffre d’affaires, les bénéfices, la part des coûts de distribution (notamment envers Coinbase) et la croissance des revenus non liés aux intérêts. L’attention se portera également sur les négociations concernant le renouvellement du contrat de distribution avec Coinbase, prévu en août. Le 14 mai, le projet de loi CLARITY, visant à établir un cadre réglementaire clair pour les actifs numériques aux États-Unis, sera soumis à un vote au Sénat. Un compromis récent sur la rémunération des stablecoins pourrait faciliter son adoption, perçue comme un signal positif pour l’ensemble du secteur, y compris Circle. Enfin, le 15 mai marquera la fin du mandat de Jerome Powell à la tête de la Réserve Fédérale et l’arrivée prévue de Kevin Warsh. Bien que sa politique potentielle de resserrement quantitatif combiné à une baisse des taux puisse exercer une pression à court terme sur CRCL, son attitude favorable aux cryptomonnaies et sa vision d’une modernisation numérique de la finance américaine pourraient bénéficier à Circle sur le long terme.

marsbitIl y a 49 mins

Résultats financiers, CLARITY, Warsh en perspective, CRCL fait face à trois grands tests cette semaine

marsbitIl y a 49 mins

Les milliardaires derrière les élections de mi-mandat les plus coûteuses de l'histoire

Les élections de mi-mandat de 2026 s'annoncent comme les plus coûteuses de l'histoire, mobilisant des milliards de dollars de la part de grands donateurs, principalement des milliardaires. L'analyse de Bloomberg révèle que les comités politiques fédéraux ont déjà levé plus de 4,7 milliards de dollars, les dépenses publicitaires devant atteindre 10,8 milliards. Les fonds affluent majoritairement vers les Républicains, avec un ratio de 3,5 contre 1 par rapport aux Démocrates pour les principaux comités d'action politique (Super PACs) au premier trimestre. Le phénomène des « dark money » (argent anonyme) reste également prédominant. Parmi les donateurs individuels les plus importants figurent George Soros (102,6 M$), Elon Musk (84,8 M$) et Jeff Yass (81,8 M$). Leurs motivations sont diverses : soutien à des candidats spécifiques (comme Trump via MAGA Inc. pour Yass), opposition à des projets de loi fiscaux (Sergey Brin contre l'impôt sur la fortune en Californie), ou promotion de causes comme le choix scolaire, la cryptomonnaie (Fairshake PAC) ou l'intelligence artificielle (Leading the Future PAC). Ces contributions massives soulignent l'influence croissante des grandes fortunes sur le paysage politique américain, où se jouent le contrôle du Congrès, la régulation des nouvelles technologies et des enjeux fiscaux.

marsbitIl y a 1 h

Les milliardaires derrière les élections de mi-mandat les plus coûteuses de l'histoire

marsbitIl y a 1 h

Après un stockage multiplié par 50, Sun Yuchen regarde toujours vers les dix prochaines années

La plupart des gens connaissent Sun Yuchen pour ses excentricités, comme avoir payé 30 millions pour un déjeuner avec Warren Buffett avant d'annuler pour une crise de colique néphrétique, ou avoir mangé une banane scotchée achetée 6,2 millions de dollars. Cependant, derrière ces anecdotes se cache un investisseur perspicace. Dès 2016, il recommandait aux jeunes d'investir dans le Bitcoin, NVIDIA, Tesla et Tencent plutôt que dans l'immobilier. Une stratégie qui se serait avérée extrêmement rentable, avec des rendements exponentiels sur NVIDIA et Tesla. Récemment, son soutien public au secteur du stockage (comme SanDisk) a précédé une envolée des cours. Aujourd'hui, son regard est tourné vers la prochaine décennie et les "AI physiques". Il identifie quatre axes principaux : 1. **L'intelligence incarnée (Robots)** : Des entreprises comme Unitree et Galaxy General lèvent des fonds massifs pour développer des robots humanoïdes capables de comprendre et d'agir dans le monde physique. 2. **Les drones** : Déjà déployés commercialement (livraisons, agriculture) et militairement, ils représentent la première forme d'IA ayant un impact tangible dans le monde réel. 3. **Le calcul spatial** : Au-delà de la réalité virtuelle, il s'agit de permettre à l'IA de comprendre l'espace 3D (comme avec l'Apple Vision Pro), une base cruciale pour les robots et les véhicules autonomes. 4. **L'exploration spatiale** : Sun Yuchen a lui-même effectué un vol suborbital avec Blue Origin. Il envisage la blockchain comme une infrastructure pour l'économie spatiale (droits de propriété, paiements interplanétaires). Sa logique d'investissement consiste à parier sur des tendances de fond en diversifiant sur plusieurs acteurs clés d'une même chaîne de valeur (ex: Tesla pour le "corps" des robots, NVIDIA pour le "cerveau"). En résumé, Sun Yuchen anticipe une transition profonde : après avoir révolutionné le flux de l'information, les technologies (IA, robots, drones) sont sur le point de transformer radicalement la manière dont le monde physique fonctionne et est organisé, des usines à l'espace.

marsbitIl y a 1 h

Après un stockage multiplié par 50, Sun Yuchen regarde toujours vers les dix prochaines années

marsbitIl y a 1 h

Le plus grand IPO de l'histoire se profile, dépassant SpaceX, 28 ans d'itération autonome de l'IA, le compte à rebours de l'explosion de l'intelligence a commencé

Anthropic, fondée en 2021, approche d'une évaluation proche de 1 000 milliards de dollars en vue d'une introduction en bourse historique qui pourrait surpasser SpaceX. Sa croissance est exponentielle : les revenus annuels récurrents (ARR) ont atteint 45 milliards de dollars en mai 2026, multipliés par 500 en cinq mois. Cette trajectoire vertigineuse est alimentée par ses produits phares, Claude Code et Cowork, qui répondent à la demande explosive d'IA pour le codage et la collaboration. Le cofondateur Jack Clark a émis une prédiction cruciale : d'ici fin 2028, il y a plus de 50% de chances que les systèmes d'IA soient capables de s'auto-améliorer de manière autonome, déclenchant une « explosion de l'intelligence ». Cette perspective de récursivité, où l'IA conçoit de meilleures versions d'elle-même, fonde en grande partie l'évaluation astronomique d'Anthropic. Parallèlement, la société s'attaque aux travaux intellectuels complexes via un partenariat de 1,5 milliard de dollars avec Goldman Sachs et Blackstone, visant à concurrencer les grands cabinets de conseil comme McKinsey. Cela teste la capacité de l'IA à remplacer le travail cognitif de haut niveau. En résumé, la course folle d'Anthropic ne valorise pas seulement une entreprise technologique, mais anticipe une transformation radicale où l'IA pourrait bientôt s'auto-perfectionner, remodelant l'économie et la société. Le compte à rebours vers 2028 est lancé.

marsbitIl y a 1 h

Le plus grand IPO de l'histoire se profile, dépassant SpaceX, 28 ans d'itération autonome de l'IA, le compte à rebours de l'explosion de l'intelligence a commencé

marsbitIl y a 1 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow