En deux jours, la valeur totale bloquée (TVL) du service de prêt de cryptomonnaies Aave s'est effondrée, passant de 26,3 milliards de dollars à 17,7 milliards de dollars, selon les données de DefiLlama.
Source : DefiLlama.
Le prix du token AAVE a chuté de plus de 15 % pour atteindre 91 dollars. La capitalisation de l'actif a diminué, passant de 1,8 milliard de dollars à 1,3 milliard de dollars.
Graphique horaire Binance AAVE/USDT. Source : TradingView.
Dans Aave v3, les pools USDT et USDC sont épuisés. 5,1 milliards de dollars d'actifs sont gelés ; ils ne pourront être retirés qu'après l'injection de nouvelles liquidités ou le remboursement des prêts.
Source : Aave.
Décomposition des algues et conséquences
L'effondrement des performances d'Aave a été déclenché par une faille dans le protocole de réempilement de liquides de Kelp. Le 18 avril, des pirates informatiques ont retiré 116 500 rsETH, soit 293 millions de dollars, du pont inter-chaînes de Kelp DAO basé sur LayerZero.
Les attaquants ont déposé les jetons volés sur Aave v3 en garantie et ont reçu des wETH en contrepartie. Ils ont emprunté environ 196 millions de dollars directement sur la plateforme, et leurs positions combinées sur Aave, Compound et Euler atteignaient environ 236 millions de dollars.
Selon Lookonchain, la transaction a laissé le projet avec un « trou » d'environ 195 millions de dollars dans son bilan — ces fonds ne seront jamais restitués.
En raison de l'exploitation de KelpDAO qui a emprunté plus de 82 600 $ETH (195 millions de dollars) à #Aave en utilisant $RSETH comme garantie, une dette irrécouvrable est apparue sur #Aave.
De nombreux gros investisseurs ont retiré des fonds d'#Aave, ce qui a fait chuter sa TVL de 26,396 milliards de dollars à 20,114 milliards de dollars, soit une baisse de 6,28 milliards de dollars.
Retraits importants… pic.twitter.com/rhN28AMul9
— Lookonchain (@lookonchain) 19 avril 2026
Le fondateur de Curve Finance, Mikhail Yegorov, a également fait remarquer qu'Aave et d'autres protocoles détiennent désormais des centaines de millions de dollars en garanties douteuses et en dettes impayées.
« Aave possède des rsETH qui ne peuvent pas être vendus, et pas d'ETH car tout est investi dans des prêts. Personne ne peut retirer d'Ethereum », a-t-il ajouté.
L'équipe du projet avait initialement indiqué que le fonds de réserve Umbrella couvrirait tout déficit. La formulation a ensuite été nuancée pour devenir : « étude des solutions de compensation ».
Les marchés rsETH sur Aave V3 et Aave V4 sont gelés. Les contrats d'Aave n'ont pas été exploités et il s'agit d'une faille liée à rsETH.
Le gel fait suite à une faille de sécurité dans le pont rsETH de Kelp DAO. Le gel des marchés rsETH empêche les nouveaux dépôts et les emprunts contre du rsETH…
– Aave (@aave) 18 avril 2026
Les marchés rsETH des versions 3 et 4 sont gelés afin de prévenir les transactions suspectes. Les réserves de wETH sont bloquées sur Ethereum, Arbitrum, Base, Mantle et Linea.
Dans l'attente de clarifications sur les circonstances entourant l'utilisation du pont Kelp DAO, plusieurs projets ont été suspendus : Curve Finance, Ethena, ainsi que d'autres réseaux et protocoles fonctionnant avec rsETH ou LayerZero.
Solana a également été touchée par ces sorties de capitaux. Le journaliste Colin Wu a constaté que les taux de dépôt et les frais de service ont explosé sur plusieurs marchés USDC de Kamino, le principal protocole de prêt du réseau.
La réserve d'USDC sur le marché Prime de 178 millions de dollars a été complètement épuisée – il n'y a plus de fonds disponibles, le taux de remplissage de plusieurs autres systèmes de stockage a dépassé 95 %.
La TVL de l'ensemble du secteur DeFi est passée de 99,4 milliards de dollars à 85,8 milliards de dollars.
Source : DefiLlama.
Enquête LayerZero
Kelp DAO poursuit son enquête sur l'incident, tandis que les développeurs de LayerZero ont partagé les premiers résultats de leur enquête interne.
https://t.co/3vIHs3Xgs4
— LayerZero (@LayerZero_Core) 20 avril 2026
Selon eux, des pirates informatiques nord-coréens étaient à l'origine de l'attaque, en particulier le groupe TraderTraitor, impliqué dans les piratages de Ronin (625 millions de dollars), Bybit (1,5 milliard de dollars) et Drift Protocol (280 millions de dollars).
LayerZero explique : les attaquants ont obtenu l’accès à une liste de serveurs RPC utilisés par le réseau décentralisé et vérifié (DVN) de LayerZero Labs. Ils en ont ensuite « empoisonné » deux, les forçant à transmettre un faux message inter-chaînes au DVN.
Les attaquants ont également lancé une attaque DDoS contre des serveurs sains afin de rendre le réseau dépendant des serveurs infectés.
Kelp utilisait un système unique et sans réservation, la fausse requête a donc été acceptée et le pont a déverrouillé les jetons.
« Ce point de défaillance unique empêchait un vérificateur indépendant d’intercepter et de rejeter la falsification. LayerZero et d’autres parties externes avaient pourtant conseillé le projet sur les bonnes pratiques de diversification des DVN. Malgré ces recommandations, Kelp a opté pour un schéma DVN 1/1 », ont souligné les experts.
Ils ont souligné que l'infection n'avait affecté aucun autre actif ni application. LayerZero continue de collaborer avec les forces de l'ordre afin de poursuivre l'enquête et de retracer les fonds volés.
Pour rappel, en avril, un chercheur de la Fondation Ethereum a débusqué 100 agents informatiques nord-coréens travaillant dans des entreprises Web3.