Le casse à 292 millions de dollars
Le secteur de la finance décentralisée (DeFi) a été frappé de plein fouet par un exploit massif visant KelpDAO, avec des pertes estimées à 292 millions de dollars. L’attaque, révélée en début de semaine, met en lumière les risques structurels liés à l’intégration rapide de nouveaux protocoles et outils inter-chaînes. Au cœur du problème, une faille dans la connexion entre KelpDAO et LayerZero a permis à un attaquant de générer artificiellement 116 500 rsETH, un token censé représenter de l’ether mis en staking.
L’assaillant a ensuite déposé près de 90 000 rsETH sur Aave, le plus grand protocole de prêt du secteur, pour emprunter l’équivalent d’environ 190 millions de dollars en ETH et autres actifs sur Ethereum et Arbitrum.
Le portefeuille de l’attaquant a blanchi la quasi-totalité des 75 700 ETH volés via THORChain, soit environ 175 millions de dollars.
Cet incident n’est pas isolé par son ampleur : il s’inscrit dans une série d’exploits qui ciblent les faiblesses des bridges et des protocoles multi-chaînes. Mais ici, la rapidité et la coordination du blanchiment des fonds volés posent question sur la résilience globale de l’écosystème.
RsETH, le jeton au cœur du chaos
Le rsETH, censé être adossé à des réserves réelles d’ether staké, s’est retrouvé au centre du scandale. La création non autorisée de plus de 100 000 unités a immédiatement mis en péril sa valeur et sa crédibilité. Sur les marchés secondaires, la confiance dans ce token a vacillé alors que les utilisateurs se demandaient si chaque rsETH était réellement couvert par un équivalent en ETH.
Cette crise a révélé à quel point l’équilibre entre innovation rapide et sécurité reste fragile dans la DeFi.
En déposant ces rsETH frauduleux sur Aave comme collatéral, l’attaquant a non seulement siphonné les liquidités mais aussi exposé tout le système à un risque systémique : si le backing du rsETH n’était pas restauré, c’est tout l’empilement des prêts qui pouvait s’effondrer.
Voir Aussi
Aave en première ligne du sauvetage
Face à la menace d’un défaut massif sur sa plateforme, Aave a réagi rapidement pour coordonner une réponse sectorielle. Stani Kulechov, son fondateur, a proposé d’apporter lui-même 5 000 ETH afin d’éviter que la dette douteuse ne se propage dans l’écosystème. D’autres acteurs majeurs comme EtherFi ont également mis sur la table un plan équivalent en ETH pour protéger les utilisateurs impactés.
La situation est critique : si les garanties déposées sous forme de rsETH ne sont pas restaurées ou remplacées par des actifs solides comme l’ether natif ou le stETH (staked ether via Lido), Aave risque de devoir gérer plusieurs centaines de millions de dollars en créances irrécouvrables. C’est qu’un front commun s’est formé autour d’une initiative baptisée "DeFi United", visant à mutualiser les efforts pour rétablir l’équilibre financier du protocole.
Chez coindesk.com on rapporte que Lido Labs Foundation a proposé d’allouer jusqu’à 2 500 stETH (environ 5,7 millions de dollars) à un fonds spécial destiné à soutenir cette opération d’urgence.
43 000 ETH promis par les protocoles
La riposte ne s’est pas limitée aux seuls fondateurs historiques. Plusieurs protocoles majeurs – Mantle, EtherFi Foundation, Golem Foundation, Lido DAO, Ethena, LayerZero, Ink Foundation et Tyrdo – ont annoncé leur soutien direct au plan "DeFi United". Le montant total promis atteint désormais 43 000 ETH pour reconstituer la garantie manquante derrière le rsETH.
Mantle est allé plus loin en proposant un prêt pouvant aller jusqu’à 30 000 ETH afin d’éviter que la dette sur Aave ne devienne toxique pour tout le secteur.
Ce prêt serait rémunéré et vise aussi à renforcer les liens stratégiques entre Mantle et Aave selon une note interne. Ces contributions massives témoignent autant d’une solidarité sectorielle que d’une prise de conscience : aucun protocole n’est isolé face aux effets domino potentiels d’un tel exploit.
THORChain, plaque tournante du blanchiment
Après avoir détourné près de 75 700 ETH – soit environ 175 millions de dollars –, l’auteur du hack a utilisé THORChain pour blanchir presque tous ces fonds.
Cette plateforme décentralisée permet des échanges inter-chaînes sans passer par des plateformes centralisées classiques – une caractéristique qui complexifie considérablement le traçage et le gel des actifs volés. Malgré cela, environ 71 millions restent encore gelés grâce à une intervention rapide du conseil de sécurité d’Arbitrum. Le reste semble avoir disparu dans les méandres des pools cross-chain accessibles via THORChain.
Pourquoi ça compte
L’affaire KelpDAO expose brutalement les fragilités persistantes des protocoles DeFi face aux attaques sophistiquées exploitant les ponts inter-chaînes et la gouvernance automatisée.
Ce qui reste incertain
Il reste incertain si le prêt proposé par Mantle, pouvant aller jusqu’à 30 000 ETH, sera effectivement accordé pour couvrir la dette douteuse d’Aave liée à l’exploit KelpDAO, ce qui conditionnera la rapidité du rétablissement de la garantie du rsETH.