Aave a publié le 31 mai 2026 son rapport post-incident sur l’attaque du 18 avril visant le bridge LayerZero V2 de Kelp. 116 500 rsETH ont été libérés frauduleusement côté Ethereum, sans destruction équivalente sur Unichain. L’attaquant a ensuite déposé ces tokens dans 8 positions Aave V3, empruntant 82 650 WETH et 821 wstETH. Selon l’équipe Aave, la couverture des actifs rsETH est désormais entièrement rétablie.
Au programme
- Un empoisonnement RPC a permis de forger un message cross-chain, libérant 116 500 rsETH sans destruction côté Unichain (PANews, mai 2026)
- L’attaquant a exploité Aave V3 comme vecteur secondaire pour convertir les rsETH volés en 82 650 WETH
- LayerZero a depuis injecté 116 131,72 rsETH en 5 lots, restaurant la parité des réserves
Comment l’attaque a-t-elle été orchestrée ?
Le vecteur d’attaque repose sur un empoisonnement RPC ciblant le validateur unique de LayerZero. L’assaillant a forgé un message cross-chain en apparence légitime depuis Unichain vers Ethereum. Le bridge a accepté ce message sans que la destruction correspondante des tokens sur Unichain soit réelle.
Résultat : l’adaptateur côté Ethereum a libéré 116 500 rsETH dans le vide. Ce type de vecteur, exploitant la confiance excessive dans la messagerie inter-blockchain, avait déjà été au cœur du hack LayerZero de 292 M$ signalé en avril. L’enquête d’Aave confirme que la faille résidait dans l’infrastructure du bridge tiers, non dans le protocole de prêt lui-même.
Pourquoi Aave a-t-il été touché malgré tout ?
Le protocole de prêt n’était pas la cible principale, mais il est devenu le terrain de conversion. Après avoir acquis les rsETH frauduleux, l’attaquant les a déposés sur 8 positions distinctes dans Aave V3 - à la fois sur Ethereum Core et sur Arbitrum.
« L’attaque s’est produite au niveau de l’infrastructure d’un bridge tiers, mais les rsETH volés ont été utilisés comme collatéral dans Aave. » - Rapport post-incident Aave, 31 mai 2026 (traduit de l’anglais)
Ces dépôts ont servi de garantie pour emprunter 82 650 WETH et 821 wstETH, soit des actifs liquides et facilement transférables. Ce schéma rappelle celui documenté dans notre analyse du hack Kelp DAO et la paralysie d’Aave, où les marchés WETH et rsETH s’étaient retrouvés sous pression. Cet épisode illustre un risque systémique bien connu : un protocole sain peut absorber les effets d’une faille sur un composant tiers dont il accepte les tokens.
Les bridges cross-chain restent le maillon faible de la DeFi, comme le montrait déjà le cas Nomad en 2022. La surface d’attaque n’a pas fondamentalement changé.
Quelle résolution pour les réserves rsETH ?
La reprise a été menée en plusieurs étapes. LayerZero OFT a injecté les rsETH manquants en 5 lots successifs, pour un total de 116 131,72 rsETH - soit 368,28 tokens en dessous des 116 500 libérés frauduleusement, un écart de 0,3 % à ce stade non commenté officiellement.
Par ailleurs, les rsETH détenus par l’attaquant sur Arbitrum ont été brûlés, neutralisant une partie du surplus en circulation. Les marchés WETH et rsETH sur Aave V3 sont déclarés revenus à un fonctionnement normal. Les utilisateurs ayant suivi l’épisode en temps réel se souviendront que Kelp DAO et Aave avaient déjà procédé à la destruction de 17 132 rsETH en phase de stabilisation intermédiaire.
Pour les investisseurs exposés aux ETF crypto et aux produits institutionnels adossés à des actifs restakés, cet incident pose la question de la traçabilité des garanties sous-jacentes.
Décryptage Le rapport d’Aave est notable pour ce qu’il ne dit pas autant que pour ce qu’il confirme. En pointant l’infrastructure de bridge tiers comme unique responsable, le protocole préserve sa réputation - mais la capacité d’un attaquant à déposer des tokens frauduleux comme collatéral sans détection immédiate interroge la solidité des oracles de prix et des mécanismes de validation de collatéral dans Aave V3. La question des limites de dépôt par token et des seuils d’alerte on-chain reste ouverte.
À retenir
L’incident du 18 avril met en lumière la chaîne de dépendances entre bridges, tokens restakés et protocoles de prêt. La restauration des réserves rsETH en 5 lots par LayerZero clôt l’épisode comptable, mais le vecteur d’empoisonnement RPC - ciblant un validateur unique - montre que la décentralisation des oracles de bridge reste un chantier prioritaire pour 2026. À surveiller : les prochaines annonces de LayerZero sur le renforcement de son modèle DVN.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash