DeFi joue le jeu du blâme
Malgré tous ses discours sur la finance décentralisée, autonome et sans autorisation, la réponse du secteur DeFi au piratage Kelp DAO de 290 millions de dollars de samedi raconte une histoire différente.
Les entreprises impliquées se livrent à un jeu de blâme désordonné et très humain quant à la responsabilité des retombées de 14 milliards de dollars.
Alors que les projets se soustraient à leurs responsabilités, les utilisateurs ont des fonds bloqués dans ce qui était considéré comme le côté sûr et ennuyeux de DeFi, et sont potentiellement confrontés à des décotes pour couvrir les créances irrécouvrables.
Pendant ce temps, au milieu de l’incertitude, l’industrie dans son ensemble perd sa crédibilité.
Des voix influentes exhortent les trois principales parties concernées à se réunir et à trouver une voie à suivre. Mais jusqu’à présent, il semble que les entreprises soient déterminées à jouer au dur.
LayerZero blâme le choix de configuration du validateur par Kelp DAO, tandis que Kelp DAO affirme avoir suivi les valeurs par défaut de LayerZero. Aave reste en dehors de cela, dans l’espoir de reprendre ses activités comme d’habitude tout en évitant son propre rôle dans la conduite de l’intégration profonde de rsETH.
Jetons un coup d’œil aux arguments contre chacun des projets impliqués.
Le secteur DeFi s'effondre de 14 milliards de dollars alors que les retombées du piratage rsETH de 290 millions de dollars brûlent Aave
Varech DAO
En commençant par Kelp DAO, dont le jeton rsETH a été piraté samedi, il n’y a pas grand-chose à faire.
L’entreprise est restée silencieuse pendant 48 heures après sa première reconnaissance du piratage de samedi.
Les utilisateurs attendant de savoir comment les pertes pourraient être réparties se sont finalement vu présenter une brève déclaration ne fournissant aucune nouvelle information.
Il a simplement confirmé le mécanisme de l'exploit, a félicité, a souligné que la configuration DVN 1/1 de Kelp DAO est « la configuration par défaut pour tout nouveau déploiement OFT » et s'est félicité d'avoir bloqué une autre tentative de piratage de 95 millions de dollars.
NOUVEAU : KelpDAO est sur le point de réagir à l'autopsie de LayerZero qui accusait Kelp d'être responsable de l'exploit plutôt que de prendre la faute de son exploit d'infrastructure interne. Un mémo/projet interne de Kelp aurait été divulgué. Les équipes jouent plutôt au PvP ouvertement avec des avocats et des déclarations publiques… https://t.co/EooM2OqQ2O pic.twitter.com/jt15CBSClt
– Andy (@andyyy) 20 avril 2026
Cela s’est même révélé plutôt docile, compte tenu de l’attaque potentielle de LayerZero qui avait été teasée la veille.
Quant à la répartition des pertes, la société affirme qu’elle « évalue simultanément les prochaines étapes potentielles ».
En saluant la décision d’Arbitrum de saisir l’éther volé ($ETH), il n’a pas révélé grand-chose de plus, affirmant qu’il « poursuivait toutes les voies disponibles pour… atténuer l’impact de l’incident sur l’écosystème Defi ».
Nous allons donc continuer à attendre.
CoucheZéro
LayerZero a fait l'objet de nombreuses critiques, pas seulement de la part de Kelp DAO, selon lesquelles son architecture transfère le fardeau de la sécurité aux équipes de projet individuelles, ou « » permet à chaque émetteur d'applications et d'actifs de définir sa propre posture de sécurité », comme le dit LayerZero.
Alors que la société affirme qu'elle recommande aux émetteurs d'actifs individuels de choisir une configuration sécurisée, l'analyse de Dune suggère que près de la moitié des plus de 2 500 contrats de transition OApp utilisent une configuration DVN 1/1.
Un exemple, souligné par Taylor Monahan, expert en sécurité blockchain, indique explicitement « utiliser les valeurs par défaut de LZ » dans ses commentaires de code.
oh seigneur 😭https://t.co/7GQIbybxvg https://t.co/ToUwOX3cA5 pic.twitter.com/xFPoNgeb4c
– Tay 💖 (@tayvano_) 20 avril 2026
En effet, à la suite de l’incident de samedi, de nombreux projets crypto et DeFi bien connus ont suspendu le pontage de leurs actifs via LayerZero, notamment Ethena, EtherFi, WBTC, Tron et Curve.
Un autre point de discorde est le manque de divulgation du vecteur d'attaque spécifique qui a donné accès à son infrastructure conduisant à la manipulation du DVN, exploité par Layer Zero lui-même.
Aave
Bien qu’il soit le plus éloigné du vol réel, l’ancien protocole numéro un de DeFi (maintenant déclassé en raison des récentes sorties de fonds) a créé les conditions d’un tel dommage généralisé.
L'utilisation de rsETH comme garantie en mode électronique avec une valeur totale ciblée verrouillée en permettant un bouclage hautement exploité de jetons de (re)staking liquides corrélés à l'ETH, l'une des principales utilisations d'Aave.
Les évaluations des risques pour ces configurations se sont concentrées sur le « risque de marché et de liquidité », les configurations de transition étant considérées comme « une caractéristique structurelle de la composabilité plutôt qu'une question de portée ».
Le rsETH ponté avait les mêmes paramètres que sur le réseau principal, excluant entièrement tout risque inter-chaînes.
Il semble probable que rsETH ait été spécifiquement ciblé pour sa liquidité importante, un exploit réalisé grâce à ces décisions.
Aave semblait intouchable il y a quelques mois à peine, mais les troubles récents, le recul sur l'orgueil passé et les contributeurs s'en prenant aux concurrents dressent un tableau complètement différent.
La lueur d’espoir d’Arbitrum
Plus tôt dans la journée, le conseil de sécurité d’Arbitrum a réussi à sauver plus de 30 000 $ ETH (71 millions de dollars) des recettes du pirate informatique à temps.
Peu de temps après, le blanchiment de fonds a commencé sur Ethereum. Les analystes de la chaîne ont confirmé l'implication de la RPDC, repérant des liens vers d'autres hacks liés à TraderTraitor, BTC Turk et ByBit.
Bien que certains fanatiques de la décentralisation de DeFi puissent avoir un problème avec cette décision, avoir la possibilité de saisir des fonds illicites