Aave sous le choc : comment un bug de bridge fait vaciller le n°1 de la DeFi
04/20/2026Le 18 avril, un exploit sur le bridge de Kelp DAO a vidé près de 200 millions de dollars à Aave. Depuis, les gros titres pointent le protocole du doigt. Pourtant, une question dérange : Aave a-t-il vraiment été piraté, ou n’est-il qu’une victime collatérale encaissant la défaillance d’un tiers ? Analysons.
L’attaque en 46 minutes chrono
17h35 UTC. Un attaquant exploite une faille dans le bridge LayerZero de Kelp DAO. Le bridge l’accepte comme légitime et libère 116 500 rsETH, soit l’équivalent de 293 millions de dollars.
Problème : ces rsETH n’ont aucun backing réel. Ce sont des tokens fantômes.
Un attaquant classique les aurait vendus directement sur le marché évitant ainsi tout problème sur AAVE, mais celui-ci agit différemment.
Il dépose ses rsETH sur Aave V3 et V4 comme collatéral et emprunte ensuite du WETH, un équivalent de l’ETH utilisé dans la pool du protocole. Quand Kelp DAO gèle son bridge à 18h21, les rsETH toxiques sont déjà inscrits dans les livres d’Aave, et l’ETH réel est déjà parti.
Résultat : Aave se retrouve avec du collatéral qui ne vaut rien en face d’une dette qui, elle, est bien réelle.
La chronologie complète :
- 17h35 UTC. L’attaquant envoie un message forgé au bridge LayerZero de Kelp.
- 17h35. Le bridge accepte le message et libère 116 500 rsETH (293 M$).
- 17h36 – 18h15. L’attaquant dépose le rsETH sur Aave V3 et V4 comme collatéral et emprunte du WETH réel.
- 18h21. Kelp gèle ses contrats en urgence. 46 minutes après le début.
- 18h52. L’Aave Guardian gèle tous les marchés rsETH et wrsETH.
- Nuit du 18 au 19 avril. Panique. 6,2 milliards de dollars quittent Aave en retraits nets.
- 19 avril. Le token AAVE plonge de 18 %. La TVL d’Aave chute de 26 à 22 milliards.
- 20 avril. La TVL descend à 17,9 milliards.
Le faux coupable : la proposition 434
Six mois avant l’attaque, l’Aave Chan Initiative avait fait passer la Proposition 434. Elle augmentait le LTV du rsETH à 93 % en E-Mode, le mode d’optimisation d’Aave pour les actifs corrélés à l’ETH. Cette décision est pointée du doigt depuis samedi.
À tort, ou au mieux à moitié.
| Protocole | LTV du rsETH | Marge de sécurité |
| Aave (après Prop 434) | 93 % | 7 % |
| SparkLend | 72–75 % | 25–28 % |
| Fluid | 72–75 % | 25–28 % |
Le LTV à 93% vs 72-75% change l’ampleur du dégât, pas la nature de l’attaque.
- À 93% LTV → l’attaquant emprunte 273M$ contre 293M$ de rsETH
- À 72% LTV → l’attaquant emprunte 211M$ contre 293M$ de rsETH
En temps normal, un LTV élevé est dangereux parce qu’une chute progressive du collatéral peut rendre la position non-liquidable avant que les arbitragistes réagissent.
Sauf que le rsETH n’a pas baissé de 10 %. Il n’a pas baissé progressivement. Il est passé de pleine valeur à zéro instantanément, au moment même où le bridge libérait les tokens fantômes. Les liquidateurs ont été impuissants à n’importe quel LTV : il n’y avait plus rien à liquider.
Le vrai échec d’évaluation du risque est en amont.
Accepter un liquid restaking token comme collatéral revient à déléguer la solvabilité du prêt à une chaîne d’acteurs que le prêteur ne contrôle pas. L’émetteur du token (Kelp DAO). Le bridge qui le fait voyager (LayerZero). Les validateurs des réseaux intermédiaires. Chaque maillon est un point de défaillance unique.
Le 18 avril, le maillon qui a cassé, c’est le bridge, pas AAVE.
196 millions de dollars de mauvaise dette : qui va payer la facture ?
Le déficit WETH final atteint 196 millions de dollars. C’est ce qu’on appelle de la “mauvaise dette” et Aave a deux outils pour l’absorber.
Le premier est Umbrella, le nouveau Safety Module lancé fin 2025. Certains utilisateurs stakent volontairement leurs aTokens (les tokens représentant leurs dépôts) contre des récompenses supplémentaires. En contrepartie, ils acceptent d’être brûlés en cas de déficit. Automatique, pas de vote, pas de délai. Umbrella a 50 millions de dollars d’aWETH stakés à disposition. Pour ces derniers pas de sujet : ils vont devoir financer la perte.
Sauf que 50 millions ne couvrent pas 196 millions. Il reste 146 millions à absorber ailleurs.
Le second mécanisme s’appelle le haircut pro rata. Il est automatique aussi. Le déficit restant est inscrit dans la réserve WETH, ce qui revient à dire que les aWETH en circulation représentent collectivement plus de WETH qu’il n’en existe réellement dans la pool.
- Avant l’incident : 1 aWETH = 1 WETH.
- Après : 1 aWETH = environ 0,96 WETH.
Une perte de 4 % appliquée à tous les déposants WETH d’Aave, proportionnellement à leur dépôt. Un investisseur particulier qui avait 10 ETH dans la pool vient de perdre l’équivalent de 0,4 ETH.
Mais il y a également une troisième option qui est actuellement discutée au sein de la gouvernance.
C’est même deux options supplémentaires qui sont sur la table :
| Option | Mécanisme | Qui paie ? |
| A (déclenchée) | Haircut pro rata sur les aWETH | Les déposants WETH |
| B | Slashing des stkAAVE (max 20 %) | Les holders d’AAVE stakés |
| C | Remboursement par la DAO Treasury | Tous les holders AAVE |
L’argument de ceux qui poussent pour B ou C est simple : ce sont les stkAAVE holders qui ont approuvé l’acceptation du rsETH. Ce sont eux qui devraient absorber la dette, pas des utilisateurs passifs qui ne participent pas à la gouvernance.
Nous sommes dans un choix politique et moral qui sera important pour l’ethos d’AAVE.
Le vote est attendu dans les deux semaines.
L’avis du Club 25% sur la situation
Première question reçue des membres depuis samedi : sommes-nous exposés ?
Réponse courte : non. Le portefeuille public du Club 25% n’avait aucune exposition au rsETH, aucun dépôt WETH sur Aave, aucune ligne affectée par l’incident ou le bank run qui l’a suivi.
Ce qui mérite plus d’attention, c’est la réaction du marché elle-même. Aave n’est pas une banque. Le protocole ne pratique pas la réserve fractionnaire. Chaque prêt est sur-collatéralisé, chaque position est auditable on-chain en temps réel.
Faisons les comptes. Le déficit final, après Umbrella, atteint 146 millions de dollars. La TVL d’Aave, même après la sortie de 8 milliards en retraits, tourne autour de 17,9 milliards.
Le trou représente 0,8 % des actifs du protocole.
Aucun risque de solvabilité globale. Aucune cascade d’insolvabilité possible.
Le bank run n’est donc pas une fuite face à l’insolvabilité. C’est une réaction émotionnelle au mot « hack ». Les déposants préfèrent retirer d’abord, comprendre ensuite. Rationnellement, la majorité n’avait aucune raison de partir.
Et cette irrationalité crée des fenêtres. Quand des milliards sortent d’un protocole en 48 heures, les taux bougent. AAVE offre en ce moment des rendements importants sur des stablecoins qui n’ont aucune raison d’être touché par quelconque mauvaise dette.
Et c’est précisément notre travail que de vous le dire : identifier ces fenêtres, documenter les positions en direct sur un portefeuille public de 100 000 dollars en stablecoins, exécuter à froid quand le reste du marché réagit à chaud.
Rejoindre le Club 25% et reprenez le contrôle de votre patrimoine
Terminons cette analyse sur une prise de recul importante avec la traduction du commentaire d’ApuMallku qui permet d’entrevoir le vrai problème systémique de la DeFi aujourd’hui et qui est en passe d’être résolu :
“Nous devons reconnaître que les Guardians Aave, aussi diligents soient-ils, opèrent sur des timelines humaines. Dans une forêt sombre où les acteurs malveillants se déplacent à la vitesse du mempool, s’appuyer sur l’intervention manuelle n’est plus une stratégie de sécurité viable pour un protocole de cette envergure. Nous devons prioriser le développement d’agents on-chain autonomes capables d’agir pour suspendre les retraits ou geler les caps quand des schémas malveillants spécifiques sont détectés”
Les agents AI comme solution. Quoi d’autre ?
L’article Aave sous le choc : comment un bug de bridge fait vaciller le n°1 de la DeFi est apparu en premier sur Journal du Coin.
