Kelp DAO touché par un incident majeur autour de rsETH
Le secteur DeFi a connu un nouveau choc ce samedi 18 avril 2026. Plusieurs analyses on-chain convergent vers un incident majeur autour de rsETH, le token de liquid restaking de Kelp DAO, avec environ 116,500 rsETH déplacés pour une valeur estimée à près de 292M$. Les premiers comptes rendus ont parlé d’une attaque liée au bridge cross-chain de Kelp DAO reposant sur LayerZero.
Mais la qualification exacte de l’attaque reste, à ce stade, encore floue. Un second flot d’analyses publié ensuite évoque non pas un bug confirmé dans un smart contract précis, mais plutôt un wallet drain ciblé ou une compromission de clé, avec six adresses attaquantes identifiées et financées en amont via Tornado Cash. Une partie des fonds aurait ensuite été consolidée en ETH, ce qui oriente certains observateurs vers une piste plus opérationnelle qu’un simple défaut de code pur.
Pourquoi Aave est directement concerné
Ce qui rend l’affaire particulièrement sensible, ce n’est pas seulement le montant, mais l’effet domino potentiel sur Aave. Selon les informations disponibles, les rsETH compromis ont été utilisés comme collatéral sur Aave V3 afin d’emprunter du WETH. Si ce collatéral n’est plus correctement adossé à des réserves réelles, alors Aave se retrouve avec une dette difficile, voire impossible, à résorber par les mécanismes classiques de liquidation. Aave a d’ailleurs gelé les marchés rsETH sur V3 et V4 pendant l’évaluation de la situation. 
Cette dimension systémique explique aussi pourquoi l’événement dépasse largement Kelp DAO seul. Aave dispose désormais d’Umbrella, son nouveau module de gestion du risque on-chain, conçu pour couvrir automatiquement les déficits de bad debt sur les pools V3. En clair, si le déficit est confirmé, certains actifs stakés dans ce module peuvent être brûlés pour absorber une partie du trou. C’est probablement le premier vrai test grandeur nature de ce mécanisme.
Un incident qui relance les questions sur la sécurité DeFi
Autre élément important pour replacer cet épisode dans le temps long : ce n’est pas la première alerte autour de rsETH. En avril 2025, un bug dans l’infrastructure smart contract de Kelp avait déjà provoqué un sur-minting inattendu vers une adresse de trésorerie, poussant Aave à recommander un gel de précaution des marchés rsETH. Après cet incident, Kelp avait intégré Chainlink Proof of Reserve Secure Mint pour renforcer les garanties autour de la création de nouveaux rsETH et limiter les risques de sur-émission.
Cet épisode rappelle aussi une réalité souvent sous-estimée dans la DeFi moderne : la composabilité accélère autant l’innovation que la propagation du risque. LayerZero présente son standard OFT comme un modèle permettant de conserver une offre unifiée entre plusieurs blockchains via des mécanismes de burn/mint ou lock/mint. En théorie, cela fluidifie énormément les usages cross-chain. En pratique, plus un actif circule entre couches, marchés et protocoles, plus la surface de risque s’élargit.
À court terme, le marché a déjà réagi. Le token AAVE reculait d’environ 10.7% sur la séance, à 103.88$, signe que les investisseurs prennent très au sérieux l’hypothèse d’un déficit sur les réserves WETH du protocole. En parallèle, certains services connectés à l’écosystème Kelp ont commencé à prendre des mesures conservatoires. Upshift a indiqué avoir temporairement suspendu les dépôts et retraits sur les vaults High Growth ETH et Kelp Gain pendant l’enquête, tout en précisant que ses autres vaults USDC n’avaient pas d’exposition à rsETH.
À l’heure où nous écrivons ces lignes, le montant déplacé, l’implication de rsETH et l’exposition d’Aave sont bien documentés. En revanche, la cause racine précise de l’incident n’est pas encore officiellement tranchée entre une attaque orientée bridge/infrastructure cross-chain et une compromission de wallet ou de clé. C’est ce point qui déterminera la lecture finale de l’événement, et surtout les correctifs à venir pour toute l’industrie.
