Suite au piratage du pont rsETH sur KelpDAO, Aave a publié une mise à jour détaillée de la situation. Cette mise à jour détaille les aspects techniques de l'incident, son impact sur Aave et les scénarios de dommages potentiels.
Selon le communiqué, les fournisseurs de services liés à l'Aave DAO évaluent actuellement les scénarios potentiels de « créances irrécouvrables » dans le protocole et travaillent en coordination avec les participants de l'écosystème pour combler cette lacune.
D'après le rapport, l'attaque a eu lieu le 18 avril 2026 sur la route rsETH Unichain-Ethereum, gérée par LayerZero V2 et appartenant à Kelp. L'attaquant aurait retiré 116 500 rsETH de l'adaptateur Ethereum à l'aide d'un faux paquet de confirmation, puis distribué ces actifs sur plusieurs adresses. Il en aurait utilisé une partie comme garantie sur Aave V3 et aurait emprunté des WETH et des wstETH. Selon Aave, l'attaquant a utilisé un total de 89 567 rsETH comme garantie sur Aave, tout en empruntant environ 82 650 WETH et 821 wstETH. Une part importante de ces positions était détenue sur les réseaux Ethereum et Arbitrum.
Aave a insisté sur le fait que l'incident n'était pas dû à ses propres contrats intelligents. Conformément au protocole, la faille de sécurité provenait entièrement de l'infrastructure externe à laquelle l'actif rsETH était adossé, et les contrats, le système d'oracle et les mécanismes de liquidation d'Aave ont fonctionné comme prévu. Suite à la découverte de l'incident, les réserves de rsETH et de wrsETH ont été gelées sur l'ensemble des allocations Aave V3, le ratio de levier sur les marchés concernés a été ramené à zéro et toute nouvelle émission ou opération d'emprunt a été suspendue. Par ailleurs, le modèle de taux d'intérêt du WETH a été mis à jour sur différentes blockchains et des mesures de gel supplémentaires ont été mises en œuvre sur les marchés du WETH afin d'empêcher la propagation de nouveaux emprunts.
Aave a présenté deux scénarios d'indemnisation pour les dommages subis.
Le rapport examine deux principaux scénarios de pertes potentielles. Dans le premier scénario, si les pertes sont réparties uniformément sur l'ensemble de l'offre de rsETH, le montant total des créances irrécouvrables sur Aave pourrait atteindre environ 123,7 millions de dollars. Dans ce cas, les pertes absolues les plus importantes seraient observées sur Ethereum Core, avec l'impact proportionnel le plus élevé sur la chaîne Mantle. Le second scénario suppose que les pertes ne se répercutent que sur les actifs rsETH au niveau L2. Dans ce cas, l'estimation du montant total des créances irrécouvrables passe à 230,1 millions de dollars. Selon le rapport, dans ce scénario, la plus forte pression s'exercerait sur les réserves de WETH sur Mantle, Arbitrum et Base.
D'après les données fournies par Aave, au 20 avril 2026, la trésorerie de la DAO détenait un actif total de 181 millions de dollars. Sur ce montant, 62 millions étaient des produits liés à Ethereum, 54 millions des tokens AAVE et 52 millions des stablecoins. Par ailleurs, le protocole a déclaré avoir généré 145 millions de dollars de revenus en 2025 et réalisé 38 millions de dollars de revenus et 16 millions de dollars de bénéfice net depuis début 2026. Aave a précisé que son succès repose non seulement sur les ressources de sa trésorerie, mais aussi sur le soutien indéfectible des acteurs de son écosystème.
Actualités connexes : Graves allégations de manipulation d’altcoins ! L’expert crypto ZakXBT révèle des détails !
Un autre point clé du rapport concernait la pénurie de liquidités sur les marchés du WETH. Il a été indiqué que les réserves de WETH sur Ethereum, Arbitrum, Base, Linea et Mantle sont actuellement saturées. Cette situation rend difficile l'accès au WETH disponible pour les fournisseurs de liquidités lors des liquidations, ce qui accroît la pression sur le système. Aave a souligné que, même si le système dans son ensemble reste fonctionnel, les décisions externes, notamment concernant la répartition des pertes de rsETH, détermineront l'issue finale.
À quoi faut-il s'attendre du mécanisme de protection collective ?
Un rapport publié par Aave met en lumière le mécanisme de « protection » (également appelé module de sécurité/assurance) comme un élément clé dans le contexte de la crise du rsETH. Ce mécanisme fonctionne comme une couche de sécurité visant à protéger certaines réserves en s'activant en cas de défaillance du protocole.
D'après les informations fournies par Aave, le module Umbrella sert de tampon, notamment pour les réserves de WETH sur le réseau principal Ethereum (Core). Ce module fonctionne généralement via un pool constitué par le staking de certains actifs. Lorsque le protocole subit des pertes, les actifs de ce pool peuvent être utilisés pour couvrir une partie du déficit par le biais de « slashing ».
Toutefois, face à la crise actuelle du rsETH, Aave a formulé une proposition importante concernant le module Umbrella : suspendre temporairement son fonctionnement. L’objectif principal est d’éviter une activation prématurée et incontrôlée du module dans le pire des cas (notamment si les pertes se propagent à l’ensemble du système), et ainsi prévenir l’épuisement rapide des actifs mis en jeu.
D'après le rapport, une part importante des quelque 23 500 WETH actuellement détenus via le programme Umbrella se trouve en phase d'attente de retrait. Cela indique que les investisseurs se préparent à retirer leurs fonds, ce qui accroît le risque de panique bancaire.
En revanche, il est avancé que dans le second scénario (où les pertes se limitent aux rsETH sur les réseaux de couche 2), l'activation du module Umbrella pourrait ne pas être nécessaire. En effet, ce module ne couvre que les réserves sur le réseau principal Ethereum, et les pertes sur les réseaux de couche 2 ne relèvent pas de ce mécanisme de sécurité.
En conclusion, bien qu'Umbrella soit considéré comme une importante « dernière ligne de défense » à laquelle Aave peut recourir en temps de crise, dans la situation actuelle, le maintenir en mode veille et sous contrôle est considéré comme une stratégie plus sûre que de l'utiliser directement.
*Ceci ne constitue pas un conseil en investissement.