De 45,8 milliards à 35,7 milliards, des dizaines de milliards de fonds ont fui Aave ! Le leader des prêts DeFi est-il sur le point de s’effondrer ? Une analyse approfondie de l’attaque rsETH !

Auteur original：加密播客

Source originale：https://www.youtube.com/embed/uXU1EDWDKLE

Tôt le matin du 18 avril 2026, le pont inter-chaînes LayerZero de KelpDAO a été attaqué. L'attaquant a exploité des failles de configuration de la couche de messages pour créer illégalement environ 116 500 rsETH (d'une valeur d'environ 292 millions de dollars américains), a déposé ces jetons contrefaits dans Aave V3 comme garantie, a emprunté une grande quantité de WETH, puis a vendu directement une partie du rsETH. KelpDAO a suspendu d'urgence le contrat multi-signature 46 minutes après l'attaque et a gelé les pools de liquidités et les jetons concernés, évitant ainsi de nouvelles pertes. Cependant, les dommages causés étaient irréversibles : l'attaquant a obtenu un total d'environ 106 466 ETH, d'une valeur d'environ 2,5 milliards de dollars. Le nœud du problème est qu'après que KelpDAO a suspendu le contrat rsETH, rsETH, en tant que garantie d'Aave, est devenu incapable d'être négocié et évalué, ce qui a empêché la liquidation effective des positions d'emprunt associées et les pertes ont été essentiellement transférées aux réserves WETH d'Aave. Les estimations du marché suggèrent que le montant des créances irrécouvrables auxquelles Aave est confronté est d'environ 177 à 200 millions de dollars, selon la résolution. Le fondateur de DefiLlama, 0xngmi, a proposé trois voies d'élimination possibles : premièrement, le partage socialisé des pertes, les utilisateurs supportent environ 18,5 % de la dépréciation, et il reste encore un écart d'environ 76 millions de dollars après couverture d'assurance et de trésorerie ; deuxièmement, le traitement « Rug Pull » des détenteurs de rsETH sur le réseau de deuxième niveau, ce qui peut entraîner des créances irrécouvrables d'un montant de 341 millions de dollars ; troisièmement, restituez les actifs selon l'instantané d'avant l'attaque, et il y a toujours une perte d'environ 91 millions de dollars après couverture d'assurance. Le module de sécurité d'Aave contient environ 300 millions de dollars de jetons AAVE, qui peuvent être utilisés en dernier recours, mais son utilisation réduira directement les jetons, ce qui peut déclencher une pression de vente sur les jetons de gouvernance et une dilution du consensus. La panique s’est rapidement propagée et les fonds ont continué à sortir d’Aave. L’ampleur initiale des sorties de fonds était d’environ 5,4 à 6,6 milliards de dollars. Le 20 avril, les sorties cumulées avaient atteint 10,1 milliards de dollars et le total des dépôts a chuté de 45,8 milliards de dollars à 35,7 milliards de dollars, dont 4,5 milliards de dollars de sorties de pièces stables. Rien que le 19 avril, environ 6,6 milliards de dollars ont été retirés en une seule journée. Cette vitesse est extrêmement rare dans l’histoire des prêts DeFi. En conséquence, le pool de liquidités stables était extrêmement restreint. Les taux de dépôt de l'USDT et de l'USDC ont rapidement grimpé à 13,4 % après l'incident et y sont restés pendant plus de 24 heures. Le taux d'emprunt a grimpé jusqu'à 15 %, ce qui équivalait à l'alarme d'un grave épuisement des liquidités du protocole : le capital stable disponible pour les prêts était presque épuisé et il ne pouvait compter que sur des taux d'intérêt ultra-élevés pour attirer de nouveaux dépôts. Le jeton AAVE a chuté de plus de 18 % en 24 heures, le protocole TVL passant d'environ 26,396 milliards de dollars à environ 19,8 milliards de dollars. La baisse des prix des jetons et la pression des créances irrécouvrables forment un cycle négatif : si le module de sécurité est forcé d'être utilisé, la réduction des jetons AAVE fera baisser davantage les prix et affaiblira les capacités de protection. Cette crise ne se limite pas à Aave. Tous les principaux protocoles de prêt du secteur ont connu des sorties nettes de fonds. Morpho a enregistré une sortie de 716 millions de dollars, Sky une sortie de 272 millions de dollars, JupLend une sortie de 76 millions de dollars et la totalité de la DeFi TVL s'est évaporée de près de 10 milliards de dollars. La défaillance d’un nœud critique a déclenché une crise de confiance dans la robustesse de l’ensemble du système. Dans le même temps, les fonds ont commencé à migrer vers d’autres protocoles. Spark est devenu le plus grand gagnant, avec son taux d'intérêt sur les dépôts ETH grimpant à 130 % et restant toujours autour de 18 % 48 heures après l'incident. Spark avait retiré le rsETH de la liste des garanties dès janvier et maintenu un taux d'emprunt maximum élevé. Cette gestion prospective des risques l'a rendu « anti-fragile » dans cette crise. L'investisseur bien connu Justin Sun a également retiré de toute urgence 65 584 ETH (environ 154 millions de dollars) d'Aave et en a déposé la majeure partie dans Spark, amplifiant encore les avantages des concurrents. À un niveau plus profond, cet incident a révélé deux vulnérabilités structurelles de DeFi : la sécurité des ponts inter-chaînes et le mécanisme de transmission des risques des jetons de réengagement de liquidité (LRT). Les ponts inter-chaînes ont été ciblés par des attaques à plusieurs reprises, et cette fois, la faille de configuration de la couche de messages LayerZero a une fois de plus vérifié cette exposition au risque. Comme le LRT est un dérivé complexe à plusieurs niveaux, toute faille dans la stratégie de réengagement sous-jacente ou tout échec de la tarification Oracle sera amplifié et se transformera en une crise systémique à travers l'accord de prêt. Bien que le modèle de liquidité unifié adopté par Aave améliore l'efficacité du capital, il entraîne également un effet de concentration des risques : lorsqu'un signal de risque apparaît, le meilleur choix pour tout utilisateur rationnel est de sortir immédiatement, ce qui accélère précisément l'éclatement d'une crise de liquidité. En outre, les attaques basées sur l'IA s'accélèrent, des recherches montrant que la capacité d'exploiter les vulnérabilités double environ tous les 1,3 mois, et les agents de sécurité IA sont déjà meilleurs que les agents de code standard pour découvrir les vulnérabilités des contrats intelligents, ce qui signifie que la technologie de défense doit suivre le rythme le plus rapidement possible. Pour les investisseurs, à court terme, ils doivent prêter attention au choix du plan de cession des créances douteuses, à la manière d'utiliser le module de sécurité Umbrella, aux indicateurs d'utilisation du marché d'Aave et à l'évolution des prix des jetons AAVE. À moyen terme, la prime de risque des protocoles de prêt DeFi sera confrontée à une retarification, les normes d'examen des garanties seront renforcées, les exigences d'audit pour les ponts inter-chaînes et les projets de réengagement seront augmentées, la demande des utilisateurs pour des prêts isolés et une architecture modulaire pourrait augmenter, et la conception d'assurance de protocole et de réserves de risque deviendra également une nouvelle dimension concurrentielle. L'établissement d'un cadre de gestion systématique des risques, comprenant des graphiques de dépendance aux protocoles, des évaluations de la qualité des garanties, des plans de sortie d'urgence et une configuration décentralisée multiprotocole, sera un cours obligatoire pour les participants à DeFi. Cet incident était un test de stress extrême sur la couche inférieure de DeFi. Le contrat intelligent principal d'Aave n'a pas été directement violé et le module de sécurité est actuellement soumis à de véritables tests de combat, mais il faudra du temps pour rétablir la confiance. Comme l'a dit le fondateur de DefiLlama : « Personne ne gagne dans ce genre d'incident. Cela ne fera que réduire le « gâteau » de l'ensemble de l'industrie et tout le monde en souffrira. Le futur écosystème DeFi trouvera un nouvel équilibre entre sécurité et efficacité.