Le casse du siècle sur rsETH
Le 18 avril 2024, l’écosystème DeFi a été secoué par l’un des plus grands exploits de son histoire : une faille dans le pont Kelp a permis à un attaquant de générer 116 500 rsETH sans aucun collatéral
En quelques heures, l’attaquant a utilisé plus de 89 000 rsETH pour ouvrir des positions sur Aave et Compound, empruntant au passage plus de 82 000 WETH et près de 1 000 wstETH. La rapidité et la sophistication de la manœuvre ont mis en évidence la vulnérabilité des bridges inter-chaînes et la nécessité d’une réponse coordonnée.
Les fonds détournés toujours en circulation
Aujourd’hui encore, environ 107 000 des 116 500 rsETH générés frauduleusement restent actifs en tant que collatéral sur Aave et Compound. Sept adresses identifiées comme liées à l’attaquant contrôlent ces positions, rendant leur liquidation complexe sans provoquer d’instabilité supplémentaire. Le Arbitrum Security Council a déjà gelé près de 71,5 millions de dollars associés à ces adresses, tandis que d’autres fonds détournés circulent toujours dans l’écosystème.
La situation reste sous étroite surveillance alors que chaque mouvement des tokens volés peut avoir un impact direct sur la liquidité globale.
Vers une re-collatéralisation étape par étape
Face à ce choc systémique, DeFi United – une coalition menée par Aave et réunissant notamment Consensys (30 000 ETH engagés), Stani Kulechov (5 000 ETH), Lido (jusqu’à 2 500 stETH) ou encore Tron DAO – a levé un total impressionnant de 132 650 ETH (environ 303 millions de dollars). L’objectif affiché est clair : restaurer la collatéralisation du rsETH pour éviter une crise en cascade sur les marchés DeFi. Selon decrypt.co, ce plan représente l’un des plus vastes efforts collectifs jamais entrepris dans le secteur depuis sa création.
Le 24 juin, Consensys et Joe Lubin ont officiellement rejoint la coalition DeFi United avec un engagement allant jusqu’à 30 000 ETH.
Le plan technique prévoit d’injecter progressivement les ETH collectés en convertissant par tranches ces fonds en nouveaux rsETH, qui seront ensuite déposés dans le lockbox du pont concerné. Cette opération doit permettre d’assurer que chaque token rsETH en circulation redevienne pleinement garanti par un montant équivalent d’ETH. Parallèlement, LayerZero et Kelp ont renforcé les mesures de sécurité avant toute reprise complète du bridge pour éviter une récidive.
Mais le timing reste incertain : le transfert des fonds gelés par Arbitrum – soit plus de 30 700 ETH – vers DeFi United dépend d’un processus de gouvernance qui pourrait prendre jusqu’à sept semaines. D’autres contributions majeures attendent également l’approbation finale chez Mantle, Ether.Fi ou Lido.
Voir Aussi
La parade des oracles face à l’attaque
Pour liquider proprement les positions ouvertes par les attaquants sans provoquer d’effet domino sur le marché, la coalition propose un ajustement temporaire du prix oracle du rsETH. Cet ajustement vise à refléter la valeur réelle du token après exploit et à déclencher automatiquement les liquidations nécessaires. Les collatéraux récupérés seraient ensuite transférés vers un portefeuille multi-signature contrôlé par DeFi United afin d’être redistribués aux victimes ou réinjectés dans le système.
Ce mécanisme dépend toutefois d’une série d’approbations communautaires et techniques : il faut non seulement modifier temporairement l’oracle mais aussi s’assurer que l’attaquant n’interfère pas avec le processus lors des liquidations. Le moindre faux pas pourrait entraîner une nouvelle vague d’instabilité ou permettre au hacker de profiter encore du système.
Pourquoi ça compte
L’enjeu dépasse largement la simple compensation financière : avec environ 18% de l’offre totale de rsETH compromise lors de cette attaque, c’est toute la confiance dans les bridges inter-chaînes et les garanties DeFi qui se joue aujourd’hui. La réponse coordonnée entre acteurs majeurs comme Consensys, Avalanche Foundation ou Tron DAO montre que la gouvernance collective s’organise pour limiter les dégâts et préserver l’intégrité du marché.
La pression reste forte sur Aave et ses partenaires pour mener à bien ce plan sans accroc. Les taux d’utilisation records observés récemment sur USDT et USDC – jusqu’à près de 100% – témoignent d’une tension persistante sur la liquidité alors que les marchés attendent la résolution définitive du dossier Kelp DAO.
Si la coordination réussit et que toutes les étapes sont validées sans incident majeur, cet épisode pourrait servir de modèle pour gérer les crises systémiques à venir dans la finance décentralisée. Mais tant que tous les fonds n’ont pas été sécurisés ni toutes les positions liquidées proprement, le risque demeure palpable pour l’ensemble du secteur.
Les zones de vigilance
Le transfert des 30 765 ETH gelés par le conseil de sécurité d’Arbitrum vers DeFi United dépend d’une proposition dont la finalisation pourrait prendre jusqu’à 49 jours ; si ce délai n’est pas respecté ou si les votes de gouvernance en attente chez Mantle, Ether.Fi et Lido n’aboutissent pas, la capacité de DeFi United à restaurer rapidement la collatéralisation du rsETH restera incertaine.
