Le paysage DeFi secoué par de fausses transactions sur la plateforme de jalonnement liquide Ethereum d'Aave le mois dernier

Un exploit dévastateur du 18 avril 2026 a mis au jour une faiblesse flagrante dans l'infrastructure du pont reliant les marchés d'Aave, en particulier le pont Kelp rsETH LayerZero V2 reliant Unichain à Ethereum. En forgeant un message inter-chaînes, un attaquant a pu libérer un montant substantiel de 116 500 rsETH dans l'écosystème Ethereum sans brûlure correspondante sur Unichain, utilisant ensuite ces jetons comme garantie pour contracter des prêts sur plusieurs positions Aave V3. Heureusement, un effort de redressement rapide et coordonné a suivi, rétablissant finalement les marchés à leur état normal et garantissant un soutien total.

La racine du problème résidait dans l'architecture du pont, qui reposait fortement sur un seul vérificateur pour authentifier tous les messages inter-chaînes entrants, créant essentiellement un point de défaillance unique. Cette configuration, connue sous le nom de réseau de vérificateurs décentralisés un-sur-un, s'est révélée vulnérable aux manipulations externes lorsque le vérificateur a été ciblé par une attaque d'empoisonnement RPC, permettant à l'attaquant de déformer sa vision de l'état de la chaîne source. À 17h35 UTC le 18 avril, le point de terminaison Ethereum a accepté un message entrant avec le nonce 308, libérant les 116 500 rsETH susmentionnés, tandis que le point de terminaison Unichain a continué à afficher uniquement le nonce sortant 307, indiquant qu'aucune gravure n'avait eu lieu sur la chaîne source.

Le succès de l'exploit n'était pas dû à une faille dans le code du contrat intelligent d'Aave, mais plutôt à la dépendance du pont à l'égard d'un seul vérificateur et à sa susceptibilité aux manipulations externes, une vulnérabilité qui existait en dehors du protocole Aave. Après la libération des jetons rsETH, l'attaquant les a rapidement dispersés sur sept adresses de destinataires, avec 89 567 rsETH déployés en garantie sur huit positions Aave V3 sur Ethereum Core et Arbitrum, obtenant des prêts totalisant 82 650 WETH et 821 wstETH. L'attaquant a soigneusement maintenu les facteurs de santé entre 1,01 et 1,03, évitant ainsi de peu la liquidation automatique.

L'exposition d'Aave à l'exploit découle de sa liste de rsETH comme garantie selon les conditions standard de surdimensionnement, créant une dépendance directe à l'égard de l'infrastructure de vérification du pont, qui échappe au contrôle d'Aave. En réponse, l'Aave Protocol Guardian est entré en action, gelant rsETH et wrsETH sur Aave V3 et fixant le ratio prêt/valeur (LTV) à zéro à 19h00 UTC le 18 avril. De plus, le Kelp Spoke sur Aave V4 a été entièrement gelé et l'emprunt WETH a été immédiatement désactivé.

Au fur et à mesure que les efforts de réponse progressaient, Kelp a réussi à suspendre 43 373 rsETH connectés à l'exploit entre 18h00 et 19h00 UTC, limitant ainsi les dégâts supplémentaires. Au cours des deux jours suivants, des mesures de protection supplémentaires ont été mises en œuvre, notamment le gel de WETH sur plusieurs déploiements, tels que Ethereum Core, Ethereum Prime, Arbitrum, Base, Mantle et Linea le 20 avril. Le Conseil de sécurité d'Arbitrum a encore gelé 30 766 ETH liés à l'attaquant le 21 avril. atténuant l'impact de l'exploit.