Depuis notre premier article, et sa mise à jour, l’attaque qui a frappé Kelp DAO le 18 avril 2026 n’est plus seulement un incident spectaculaire de plus dans la DeFi. Avec environ 116,500 rsETH drainés, soit près de 292M$ et environ 18% de l’offre en circulation du token, l’affaire a immédiatement débordé le cadre de Kelp pour toucher Aave, puis plus largement toute la finance décentralisée interconnectée. Ce qui, au départ, ressemblait à un exploit de bridge encore mal compris est désormais lu comme une démonstration brutale des risques créés par les architectures cross-chain, les actifs dérivés et leur utilisation comme collatéral dans les protocoles de lending.
Le post-mortem de LayerZero change la lecture de l’attaque
La nouveauté majeure de ces dernières heures vient du post-mortem publié par LayerZero. D’après LayerZero, son DVN, c’est-à-dire le réseau de vérification chargé de valider certains messages cross-chain, a été visé par une attaque “hautement sophistiquée”, probablement attribuable au Lazarus Group. Le point le plus important n’est pas seulement l’attribution probable, mais le fait que la route concernée reposait sur une configuration 1-of-1 DVN. En clair, un seul vérificateur suffisait pour valider le message, ce qui a créé un point de défaillance unique sur un actif devenu trop important pour tolérer ce niveau de redondance.
LayerZero explique aussi que l’attaquant aurait réussi à accéder à la liste des RPC utilisés par son DVN, puis à en compromettre deux, tous deux opérés sur op-geth. Cette précision est essentielle, car elle déplace le centre de gravité de l’affaire : le cœur économique de rsETH n’aurait pas été “cassé” en premier lieu ; c’est la couche d’infrastructure et de validation cross-chain qui a cédé, avant que la composabilité DeFi ne propage ensuite le choc dans les protocoles qui acceptaient rsETH comme collatéral.
Kelp DAO, de son côté, avait rapidement confirmé avoir détecté une activité cross-chain suspecte et suspendu les contrats rsETH sur Ethereum mainnet ainsi que sur plusieurs layer 2 pendant l’enquête. Autrement dit, le protocole a reconnu très tôt que le problème venait d’un flux inter-chaînes anormal, mais c’est le post-mortem de LayerZero qui donne aujourd’hui la première grille de lecture suffisamment solide pour sortir du simple brouillard des premières heures.
Aave n’a pas été hacké, mais Aave est devenu le principal point de friction
Côté Aave, la position officielle est désormais plus claire. D’après le suivi officiel d’Aave sur son forum de gouvernance, le protocole lui-même n’a pas été exploité : “all Aave pools remain safe and fully operational”, et l’incident est explicitement présenté comme circonscrit à l’actif rsETH, non à une faille native d’Aave. Le 18 avril à 18:52 UTC, le Guardian a gelé les marchés rsETH et wrsETH sur tous les déploiements concernés. Puis, dans un second temps, Aave a également gelé WETH sur Core, Prime, Arbitrum, Base, Mantle et Linea afin d’empêcher de nouveaux emprunts contre collatéral WETH pendant l’évaluation du risque.
Cette réaction montre bien la vraie nature du problème. Aave n’a pas subi une compromission directe de ses smart contracts, mais a absorbé les conséquences d’un actif externe devenu soudainement toxique pour le lending. Le risque ne se situe donc pas dans un bug Aave, mais dans l’acceptation, comme collatéral, d’un actif reposant lui-même sur une chaîne de confiance cross-chain trop fragile. C’est cette dépendance indirecte qui a transformé un hack ciblé en crise de confiance pour tout un segment de la DeFi.
Aave a ensuite précisé, via ses communications publiques, que rsETH sur Ethereum mainnet restait entièrement adossé selon son analyse, que l’exposition à l’incident était désormais plafonnée, et que le maintien du gel sur rsETH ainsi que sur plusieurs réserves WETH relevait d’une logique de précaution, pas d’un effondrement complet du système. Cette nuance est centrale : tout n’a pas disparu, mais la capacité du marché à faire confiance instantanément à ce type d’actif a, elle, été sérieusement abîmée.
Un choc de confiance qui dépasse désormais Kelp DAO
L’affaire est donc devenue plus qu’un hack. Elle a déclenché une onde de choc sur la perception du risque dans la DeFi. CoinDesk rapporte qu’Aave a vu fuir plus de 6Md$ de dépôts après l’incident, tandis que la TVL DeFi a reculé de plus de 13Md$ en deux jours. Ce mouvement de retrait ne signifie pas que tous les protocoles touchés étaient insolvables, mais il montre à quel point la confiance dans les empilements de briques techniques est devenue fragile dès qu’un maillon cross-chain majeur cède.
Le véritable enseignement de cette séquence est là. Pendant longtemps, le marché a traité la composabilité comme une force presque toujours positive : plus de ponts, plus de couches, plus d’usages, plus d’efficacité. L’incident rsETH rappelle brutalement l’envers de cette logique. Quand un actif circule entre plusieurs réseaux, repose sur une infrastructure de validation spécialisée, puis sert de collatéral dans un protocole de lending systémique, la moindre faille ne reste presque jamais locale. Elle remonte toute la chaîne de confiance, frappe la liquidité, le collatéral, la gouvernance du risque et, au final, la confiance des déposants eux-mêmes.
Ce dernier article de la série permet donc de fixer une lecture plus propre de l’événement. D’après LayerZero, la cause probable se situe dans une attaque sophistiquée sur son DVN combinée à une configuration 1-of-1 trop faible pour protéger une route de cette importance. D’après Aave, le protocole n’a pas été hacké, ses pools restent opérationnels, et le gel des marchés visés vise à contenir l’exposition. Pour le marché, en revanche, le verdict est déjà partiellement tombé : même lorsque le cœur d’un protocole reste debout, la confiance peut se retirer très vite dès que l’infrastructure cross-chain montre une faiblesse structurelle.
