Près d’un mois après l’exploit du 18 avril, Kelp DAO et Aave ont brûlé les 17 132 rsETH détenus par l’attaquant sur Arbitrum. Aave a parallèlement levé 137 000 ETH, soit 317 millions de dollars, via son programme DeFi United pour couvrir le déficit. Les retraits rsETH doivent reprendre en moins de 24 heures, selon nos informations.
Au programme
- 17 132 rsETH de l’exploiteur détruits sur Arbitrum, première étape formelle de la reprise (selon nos informations, 13 mai 2026)
- Aave a levé 317 M$ via DeFi United pour combler le déficit post-exploit
- Les dépôts totaux sur Aave restent à 27,8 Md$, loin des 45 Md$ d’avant la crise
Que s’est-il passé lors du burn du 13 mai ?
Le 13 mai 2026, Kelp DAO et Aave ont procédé à la destruction des tokens rsETH immobilisés sur Arbitrum depuis l’exploit. Les 17 132 rsETH brûlés appartenaient à l’adresse de l’attaquant, neutralisant définitivement cette fraction du butin. KelpDAO a confirmé que le rsETH reste intégralement adossé à des garanties sur le réseau principal et les L2 à chaque instant.
Après ce jalons, les retraits rsETH vers de l’ETH natif sont attendus dans les 24 heures. La première tranche passera par l’adaptateur LayerZero OFT. Dépôts, rachats, bridging et claims devront suivre dans la même fenêtre, d’après les annonces officielles des deux protocoles.
Comment Aave a-t-elle levé 317 M$ en urgence ?
Pour couvrir le manque à gagner généré par l’exploit, Aave a lancé DeFi United, un mécanisme de récupération communautaire. Ce programme a collecté 137 000 ETH auprès de participants DeFi, valorisés à 317 millions de dollars au moment de l’annonce. Stani Kulechnov, fondateur et PDG d’Aave, a évoqué la construction d’un « nouveau niveau de résilience » pour le protocole.
Le renflouement sera géré via deux structures : l’Aave Recovery Guardian côté protocole, et le Kelp Recovery Safe côté émetteur du rsETH. Les deux entités piloteront la réinjection progressive des fonds brûlés pour restaurer le collatéral.
« L’équipe s’est lancée dans la construction d’un nouveau niveau de résilience. » : Stani Kulechnov, fondateur et PDG d’Aave
Quelles mesures de sécurité ont été renforcées ?
Kelp a procédé à un audit complet de toutes ses configurations de bridging LayerZero. Résultat concret : les attestations passent de 1 à 4 attesteurs indépendants, et les confirmations de blocs montent de 42 à 64. Toutes les routes L2-to-L2 directes ont été supprimées. BailSec a audité ces nouvelles mesures de sécurité.
Kelp est aussi en cours de migration vers CCIP, le protocole de Chainlink, pour renforcer encore le bridging cross-chain. Cette décision traduit une défiance explicite envers le modèle LayerZero, qui constituait le vecteur de l’exploit initial. Pour plus de contexte sur la mécanique de l’attaque initiale, voir notre article sur le hack Kelp DAO qui a paralysé Aave.
Où en sont les dépôts sur Aave ?
La reprise reste partielle. Les dépôts totaux sur Aave s’établissent à 27,8 milliards de dollars au 13 mai, contre 45 milliards avant le hack. L’écart de 17,2 Md$ illustre la défiance persistante des déposants. La supply de stablecoins sur Aave affiche néanmoins un signal positif : elle est remontée de 7,3 Md$ à 8,7 Md$, soit une hausse de 1,4 Md$.
La liquidité globale s’est stabilisée, mais les investisseurs conservent une approche prudente. Le chemin vers les 45 Md$ d’avant-crise reste long, et la confiance se reconstruit lentement. Pour suivre l’évolution du jeton natif, consultez notre guide sur comment acheter AAVE en 2026.
Lecture du rédacteur Le burn des 17 132 rsETH constitue un précédent technique intéressant : une DAO qui récupère et détruit les tokens d’un exploiteur via gouvernance, sans recours judiciaire. C’est la même logique que les burns trimestriels de BNB par Binance appliquée à une situation de crise. La vraie question est la vitesse à laquelle les 17,2 Md$ de dépôts perdus reviendront, si jamais ils reviennent.
Et pour la France ?
Aave est accessible via plusieurs PSAN enregistrés auprès de l’AMF opérant en France. La reprise du rsETH et la restauration des liquidités concernent directement les utilisateurs français qui avaient des positions ouvertes au moment de l’exploit. Les éventuelles pertes ou gains générés par la crise restent soumis au régime des plus-values d’actifs numériques, soit un PFU de 31,4 % (article 150 VH bis du CGI), avec déclaration via le formulaire 2086.
À retenir
Kelp DAO et Aave ont franchi l’étape décisive du burn des 17 132 rsETH de l’exploiteur, ouvrant la voie à une reprise des retraits sous 24 heures. Les 317 M$ levés via DeFi United sécurisent le renflouement. Reste à surveiller la vitesse de reconstitution des dépôts, bloqués à 27,8 Md$ contre 45 Md$ avant la crise.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash