Cryptonews

Une violation de la sécurité de Kelp DAO de 292 millions de dollars laisse Aave confrontée à une exposition massive à des créances irrécouvrables

Source
cryptonewstrend.com
Publié
Une violation de la sécurité de Kelp DAO de 292 millions de dollars laisse Aave confrontée à une exposition massive à des créances irrécouvrables

Table des matières Dans ce qui marque la faille de sécurité DeFi la plus importante de 2026 à ce jour, Kelp DAO a été victime d'une attaque sophistiquée le 18 avril qui a entraîné le vol de 116 500 jetons rsETH, représentant une valeur d'environ 292 millions de dollars provenant de son infrastructure de pont inter-chaînes intégrée à LayerZero. Mise à jour sur l'incident rsETH :@LlamaRisk a publié un rapport décrivant l'incident rsETH, les mesures immédiates prises, son impact sur Aave et les voies potentielles à suivre. Tous les fournisseurs de services ont travaillé pour évaluer les deux scénarios potentiels de créances irrécouvrables sur le protocole Aave.… — Aave (@aave) 20 avril 2026 Selon l'analyse de LayerZero, les auteurs – soupçonnés d'être le célèbre groupe Lazarus opérant en Corée du Nord – ont réussi à compromettre une liste de nœuds RPC utilisés par le réseau vérifié décentralisé. Les attaquants ont empoisonné deux nœuds tout en lançant simultanément une attaque par déni de service distribué (DDoS) contre un troisième nœud, trompant ainsi le système et lui faisant valider un message inter-chaîne frauduleux autorisant la création de 116 500 rsETH. Kelp DAO a répondu rapidement après avoir détecté la faille de sécurité. L'équipe a immédiatement suspendu tous les contrats intelligents concernés et mis en œuvre des mesures de liste noire contre les portefeuilles connectés à l'attaquant, une action défensive qui aurait évité une perte supplémentaire de 40 000 rsETH, soit l'équivalent d'environ 95 millions de dollars. Les jetons compromis ont ensuite été déposés dans Aave V3. L’auteur a fourni 89 567 rsETH, d’une valeur d’environ 221 millions de dollars, en garantie pour emprunter 82 650 Ether enveloppés plus 821 wstETH, créant ainsi des positions avec des facteurs de santé extrêmement faibles qui exposent désormais Aave à un risque de créance irrécouvrable important. Depuis que l’exploit s’est produit, Aave a connu un exode de près de 10 milliards de dollars d’une valeur totale bloquée. LayerZero a publié un rapport détaillé pointant du doigt la configuration DVN 1 sur 1 de Kelp DAO, la qualifiant de point de défaillance unique critique. La société affirme que Kelp a reçu des recommandations pour mettre en œuvre une architecture DVN plus diversifiée, mais a refusé de donner suite à ces directives. Kelp DAO a contesté ce récit, affirmant que la configuration 1 sur 1 représente la configuration standard par défaut explicitement décrite dans la documentation officielle de LayerZero. Kelp maintient que LayerZero a « confirmé comme étant approprié » cette configuration lors de l’expansion de Kelp dans les déploiements réseau de couche 2. Les deux organisations ont déclaré leur engagement envers les efforts de résolution collaborative. LlamaRisk, le partenaire de gestion des risques d'Aave, a construit deux scénarios distincts projetant les résultats potentiels des créances douteuses sur la base des décisions à venir de Kelp DAO. La première voie répartit les pertes uniformément entre tous les détenteurs de rsETH sur le réseau principal Ethereum et les réseaux de couche 2. Cette approche déclencherait une réduction de 15 % du rsETH et générerait environ 123,7 millions de dollars de créances irrécouvrables pour Aave. Le marché primaire d’Ethereum subirait la perte nominale la plus importante, soit 91,8 millions de dollars, même si ses réserves substantielles limiteraient le déficit à seulement 1,54 % des avoirs. Mantle subirait l’impact proportionnel le plus grave, à 9,54 %, dans ce scénario. La voie alternative concentre toutes les pertes exclusivement sur les réseaux de couche 2 tout en conservant un soutien complet au réseau principal Ethereum rsETH. Cela imposerait une décote dévastatrice de 73,54 % sur les garanties de couche 2 et porterait le total des créances irrécouvrables à 230,1 millions de dollars répartis sur les marchés Mantle, Arbitrum et Base. Dans le premier scénario, le module de sécurité Umbrella d’Aave contient 54 millions de dollars disponibles pour un déploiement comme filet de sécurité. Cette protection ne serait pas applicable dans le deuxième scénario. Aave a souligné que la résolution finale dépend de l’approche de Kelp DAO en matière de mise à jour des mécanismes comptables rsETH et des calculs de taux de change Oracle. L'Aave DAO détient actuellement 181 millions de dollars de réserves de trésorerie et a obtenu des promesses de la part des parties prenantes de l'écosystème de fournir un soutien supplémentaire en cas de créances irrécouvrables. Lundi, Kelp DAO a confirmé qu'elle continuait d'évaluer les ramifications financières et n'avait pas encore annoncé sa stratégie de répartition des pertes ou son cadre de redressement.