Le hack du bridge rsETH de Kelp DAO, le 18 avril 2026, a déclenché une réaction en chaîne sans précédent dans la DeFi. En moins de 24 heures, 6,6 milliards de dollars ont quitté Aave, paralysant tous ses marchés principaux à 100% d’utilisation selon les données publiées par CoinDesk. Environ 5 milliards en USDT et USDC se retrouvent bloqués. Arbitrum a gelé 30 000 ETH supplémentaires, une mesure qui a ralenti le blanchiment des fonds, mais les hackers ont poursuivi le blanchiment en urgence via plusieurs canaux malgré ces gels.

Au programme

  • 292M$ dérobés via de faux messages cross-chain sur le bridge rsETH de Kelp DAO (CoinDesk, 21 avril 2026)
  • Aave atteint 100% d’utilisation sur tous ses marchés : retraits impossibles, liquidations bloquées
  • Arbitrum gèle 30 000 ETH et relance le débat sur la décentralisation des Layer 2

Comment l’attaque a-t-elle fonctionné ?

Flux du hack Kelp DAO (292M$) L'attaquant forge de faux messages cross-chain pour minter des rsETH non couverts, les dépose sur Aave comme collatéral, emprunte 200M$ en WETH, déclenchant un bank-run de 6,6 milliards. Bridge rsETH Faux messages Mint Aave Collatéral non couvert 200M$ WETH Wallet attaquant Bank-run : 6,6 Mds$ Kelp DAO - 18 avril 2026

L’intrusion repose sur une technique de falsification de messages cross-chain. L’attaquant a forgé des messages sur le bridge rsETH de Kelp DAO pour minter des tokens rsETH sans couverture réelle. Ces tokens ont ensuite servi de collatéral sur Aave pour emprunter près de 200 millions de dollars en WETH.

Les premières alertes ont circulé le 18 avril. Dès que la nature frauduleuse du collatéral a été confirmée, les gros détenteurs, dont Justin Sun et l’exchange MEXC, ont retiré des milliards en quelques heures, accélérant l’assèchement des pools.

Lecture CryptoActu Trois des cinq plus grands hacks DeFi de ces deux dernières années partagent le même vecteur : la messagerie cross-chain. L’affaire Kelp DAO ne marque pas une rupture, elle confirme un angle mort structurel. Tant que les bridges restent des points d’entrée sans validation robuste, tout protocole acceptant des actifs bridgés comme collatéral s’expose à ce scénario.

Pourquoi Aave s’est-elle retrouvée bloquée ?

Les marchés principaux d’Aave ont atteint 100% d’utilisation simultanément, un scénario que le protocole avait lui-même anticipé sans jamais le vivre à cette échelle. À ce niveau, aucune liquidité n’est disponible pour les retraits, et les liquidations ne peuvent plus s’exécuter.

Natalie Newson, chercheuse senior en sécurité blockchain chez CertiK, résume la situation :

“100% d’utilisation ne signifie pas seulement un manque de liquidité. Cela signifie que les systèmes de défense du protocole sont hors service.”

Environ 3 milliards en USDT et 2 milliards en USDC sont actuellement bloqués. Sans liquidations possibles, la mauvaise dette s’accumule sans mécanisme correcteur. Stani Kulechov, fondateur d’Aave, a indiqué à CoinDesk ne pas avoir “quelque chose d’utile à dire” sur la situation.

Ce n’est pas la première fois qu’un hack externe fragilise un grand protocole DeFi : le hack Multichain de 117M$ en 2023 avait déjà montré comment une défaillance de bridge pouvait paralyser des écosystèmes entiers.

Arbitrum gèle 30 000 ETH : quel précédent ?

En parallèle, Arbitrum a suspendu environ 30 000 ETH liés à l’exploit, selon les informations relayées par Cryptoast. Cette décision, qui vise à contenir les dommages, relance un débat fondamental sur la décentralisation des Layer 2.

Un réseau véritablement décentralisé ne peut pas geler des fonds unilatéralement. Arbitrum peut le faire, ce qui prouve que ses mécanismes de gouvernance restent centralisés. Pour certains défenseurs de la DeFi, cette capacité d’intervention est rassurante. Pour d’autres, elle invalide la promesse initiale de neutralité du protocole.

Michael Egorov, fondateur de Curve Finance, a appelé à l’adoption de standards de sécurité à l’échelle de l’industrie après cet incident, selon Bitcoin.com News. Cette position rejoint les critiques de The Block, qui rapporte une interrogation plus directe dans le secteur : “Sommes-nous une industrie de clowns ?”

La comparaison avec d’autres incidents est instructive. Le hack Atomic Wallet de 35M$ en 2023 n’avait touché qu’une fraction des utilisateurs. Ici, c’est l’ensemble du protocole Aave qui est atteint, et les effets de contagion dépassent largement le protocole d’origine.

Questions fréquentes

Qu’est-ce que le hack Kelp DAO et comment a-t-il causé des pertes de 292M$ ?

L’attaquant a falsifié des messages cross-chain sur le bridge rsETH de Kelp DAO pour créer des tokens sans couverture réelle. Ces rsETH frauduleux ont été déposés sur Aave comme collatéral, permettant d’emprunter 200M$ en WETH. La révélation de la fraude a déclenché un retrait massif de 6,6 milliards en moins de 24 heures.

Pourquoi les fonds sur Aave sont-ils bloqués après ce hack ?

Aave a atteint 100% d’utilisation sur tous ses marchés principaux, un état où aucune liquidité n’est disponible pour les retraits. Les liquidations ne peuvent plus s’exécuter, laissant environ 5 milliards en USDT et USDC inaccessibles. Selon CertiK, sans intervention extérieure, la mauvaise dette continuera de s’accumuler.

Les bridges DeFi sont-ils sûrs après l’affaire Kelp DAO ?

Les bridges restent le maillon le plus fragile de la DeFi. Le hack Kelp DAO s’inscrit dans une série de failles exploitant la messagerie cross-chain. Pour en savoir plus sur les précédents, le hack Multichain de 117M$ illustre le même type de vulnérabilité structurelle. Des standards sectoriels font défaut selon le fondateur de Curve.

À retenir

Le hack Kelp DAO dépasse le seul protocole attaqué : il a paralysé Aave, gelé des fonds sur Arbitrum et relancé le débat sur les bridges cross-chain. À surveiller : la capacité d’Aave à restaurer ses liquidités sans recapitalisation externe, et les propositions concrètes de gouvernance sur les Layer 2.

Sources

Signal Baissier
Impact Majeur
EN DIRECT