Rewards Hub 
Le plus grand plan de soutien coordonné de l'histoire de la DeFi est en cours. Le 23 avril, les fournisseurs de services Aave ont lancé « DeFi United », un fonds de secours inter-protocoles visant à lever 100 000 ETH afin de rétablir la garantie du rsETH après l'exploitation du bridge Kelp DAO, survenue le 18 avril, qui a causé 292 millions de dollars de pertes. Au 24 avril, le fonds avait déjà réuni environ 69 534 ETH (environ 161 millions de dollars) avec la participation de nombreuses figures majeures de l’infrastructure Ethereum.
Il ne s'agit pas d'un vote DAO pour rembourser des utilisateurs individuels, mais d'une initiative coordonnée du secteur visant à éviter qu'une faille ne devienne une crise systémique de créances douteuses sur le plus grand protocole de prêt DeFi, qui détient des milliards en dépôts utilisateurs.
Que s'est-il passé avec Kelp DAO et pourquoi Aave est concerné
Le 18 avril à 17:35 UTC, un attaquant a exploité le bridge de Kelp DAO alimenté par LayerZero pour vider 116 500 rsETH du contrat d’entiercement Ethereum, soit environ 292 millions de dollars à ce moment. L'attaque visait une configuration simplifiée, un bridge à vérificateur unique (un seul nœud DVN LayerZero validait les messages inter-chaînes). Les attaquants ont compromis deux nœuds RPC alimentant ce vérificateur, utilisé une attaque DDoS pour forcer le basculement, et trompé le système en lui faisant croire à un burn valide alors que ce n'était pas le cas.
Le vérificateur corrompu a validé le faux message, et le contrat Ethereum a libéré 116 500 rsETH vers un portefeuille contrôlé par l’attaquant. Le dispositif d’urgence de Kelp a gelé les contrats 46 minutes plus tard, bloquant deux tentatives supplémentaires (totalisant 100 millions de dollars), mais la perte initiale était effective.
C'est à ce moment qu'Aave est devenu concerné. L’attaquant a immédiatement déposé 89 567 rsETH sur Aave en garantie et a emprunté environ 190 millions de dollars en WETH et wstETH sur Ethereum et Arbitrum. Les fonds empruntés étaient des actifs légitimes, mais la garantie en rsETH n'était plus adossée à de la valeur réelle. Ces 89 567 rsETH sont désormais non garantis : en cas de liquidation, Aave encaissera la perte en tant que créance douteuse. Selon le forum de gouvernance Aave, les pertes potentielles se situent entre 123 et 230 millions de dollars selon la répartition de la perte par Kelp sur les différentes chaînes.
Qui contribue à DeFi United et pour quels montants ?
La liste des contributeurs distingue cette opération de toutes les réponses précédentes à des exploits DeFi. Habituellement, le protocole victime supporte seul la perte, lance éventuellement une collecte communautaire et espère un retour des fonds. DeFi United marque la première fois où plusieurs protocoles mutualisent des capitaux pour absorber les conséquences d’une attaque ayant touché un tiers.
| Contributeur | Montant | Structure |
|---|---|---|
| Aave DAO (proposition) | 25 000 ETH (~58 M$) | Contribution directe du trésor DAO |
| Stani Kulechov (personnel) | 5 000 ETH (~11,6 M$) | Engagement personnel du fondateur d'Aave |
| Mantle Network | 30 000 ETH (~69,6 M$) | Prêt sur 3 ans, rendement Lido +1 %, délégation de 130K jetons AAVE |
| Lido DAO | 2 500 stETH (~5,8 M$) | Promesse directe |
| EtherFi | Non communiqué | Participation confirmée |
| Ethena | Non communiqué | Participation confirmée |
| Ink Foundation | Non communiqué | Participation confirmée |
| BGD Labs | Non communiqué | Participation confirmée |
| Frax Finance | En attente de vote | Soutien annoncé |
| Contributeurs individuels | Divers | Engagements multiples |
| Total (24 avril) | ~69 534 ETH | ~161 M$ collectés pour objectif 100K ETH |
La proposition de 25 000 ETH de l’Aave DAO est l’engagement le plus important. Si elle est validée, Aave deviendra le principal contributeur. Le prêt Mantle de 30 000 ETH propose une structure originale : ce n’est pas un don, mais un prêt à rendement indexé (rendement Lido +1 %, sur 3 ans) avec délégation de 130 000 jetons AAVE à Mantle, ce qui lui confère une influence de gouvernance en échange de la liquidité fournie.
L’engagement personnel de 5 000 ETH de Kulechov, fondateur d’Aave, est significatif car il démontre sa confiance dans le protocole.
Pourquoi Arbitrum a-t-il gelé 71 millions de dollars séparément ?
Pendant que DeFi United s’organisait, le comité de sécurité d’Arbitrum a adopté une autre approche : il a gelé 30 766 ETH (environ 71 millions de dollars) liés à l’exploit, transférant ces fonds vers un portefeuille contrôlé par la gouvernance. Cela représente environ un quart du montant détourné.
Ce gel s’explique par le fait que l’attaquant avait utilisé l’rsETH dérobé comme garantie sur Arbitrum pour emprunter des actifs. Le conseil de sécurité, multisignature à 12 membres disposant de pouvoirs d’urgence, a voté pour geler la position de l’attaquant avant que les fonds ne puissent être transférés hors de la chaîne. L’attaquant avait déjà commencé à déplacer des fonds volés sur différentes chaînes après le gel, d’où la nécessité pour DeFi United de combler le reste du déficit.
Cela crée une distinction originale dans la récupération : Arbitrum a utilisé l’intervention d’urgence centralisée pour bloquer les fonds sur sa chaîne, alors que DeFi United recourt à une coordination décentralisée pour combler le déficit résiduel. C’est une première pour l’industrie.
Le lien avec le groupe Lazarus et les conséquences sur la sécurité des bridges
LayerZero a attribué l’attaque au groupe nord-coréen Lazarus, en particulier à la sous-unité TraderTraitor. L’attribution repose sur le pré-financement via Tornado Cash dix heures avant l’attaque, l’utilisation de binaires auto-destructeurs et des schémas de consolidation post-exploit similaires à ceux documentés pour le groupe.
Si cette attribution se confirme, le groupe Lazarus aurait drainé plus de 575 millions de dollars de la DeFi en seulement 18 jours en avril 2026, combinant l’exploitation du protocole Drift du 1er avril et celle de Kelp du 18 avril. Deux vecteurs d’attaque structurellement différents, deux protocoles distincts, même acteur.
L’ampleur des opérations du groupe Lazarus en 2026 dépasserait le pic de 1,7 milliard de dollars enregistré en 2022.
La polémique entre Kelp et LayerZero est aussi instructive : LayerZero indique que Kelp a volontairement choisi une configuration à vérificateur unique, contre son avis. Kelp réplique que les paramètres par défaut de LayerZero sont à l’origine de la vulnérabilité. Pour l’utilisateur, la leçon est pragmatique : tout bridge ayant un point unique de validation présente un risque mal évalué par le marché. Une configuration multi-vérificateur robuste aurait nécessité de compromettre plusieurs DVN indépendants simultanément, rendant cet angle d’attaque inefficace.
Que se passe-t-il si DeFi United atteint 100 000 ETH ?
L’objectif de 100 000 ETH correspond au montant nécessaire pour rétablir l’équivalence 1:1 entre rsETH et ETH. Sans ce rétablissement, le rsETH s’échange à prix réduit, Aave supporte une dette durable, et tous les protocoles utilisant rsETH comme garantie doivent enregistrer une perte.
Si la collecte aboutit, la parité du rsETH serait restaurée, la dette d’Aave absorbée par le fonds et la confiance dans l’écosystème DeFi préservée. Après l’exploit, la TVL d’Aave a chuté de 6 milliards de dollars en quelques jours, les utilisateurs ayant retiré leurs dépôts par précaution. Restaurer la confiance est aussi crucial que de combler le déficit d’ETH.
Le marché DeFi a ressenti l’impact immédiatement. La TVL totale a baissé de plus de 13 milliards de dollars en deux jours, y compris sur des protocoles sans exposition directe au rsETH. C’est l’effet de contagion, et DeFi United vise autant à enrayer cette contagion qu’à combler un trou comptable.
Pour les utilisateurs DeFi ne détenant pas directement de rsETH, l’enjeu reste réel. Aave étant le principal protocole de prêt, sa santé influence taux d’emprunt, disponibilité des garanties et liquidité sur l’ensemble du marché. Si Aave subit une perte définitive, les coûts d’emprunt montent et les rendements baissent, car le protocole utiliserait ses revenus pour couvrir le déficit.
Si l’objectif n’est pas atteint, le déficit restant incombera à Aave, qui devra mobiliser son trésor et son safety module, pouvant entraîner la vente de jetons AAVE et exercer une pression baissière sur le jeton de gouvernance.
Questions fréquentes
Qu’est-ce que DeFi United ?
DeFi United est un fonds de secours inter-protocoles coordonné par les fournisseurs de services Aave pour lever 100 000 ETH et restaurer la garantie du rsETH après l’exploit de 292 millions de dollars subi par Kelp DAO. Parmi les contributeurs : Aave DAO, Lido, Mantle, EtherFi, Ethena, etc. Au 24 avril, environ 69 534 ETH avaient été collectés.
Comment l’exploitation de Kelp DAO s’est-elle produite ?
L’attaquant a compromis les nœuds RPC alimentant le seul vérificateur LayerZero de Kelp, a trompé le système avec un message inter-chaînes frauduleux et a vidé 116 500 rsETH (292 millions de dollars) du contrat d’escrow Ethereum. Les tokens volés ont été déposés sur Aave comme garantie pour emprunter 190 millions de dollars en actifs légitimes.
Pourquoi Aave est-il concerné alors que l’exploit a touché Kelp ?
L’attaquant a utilisé 89 567 rsETH non garantis comme collatéral sur Aave pour emprunter environ 190 millions de dollars en WETH et wstETH. En cas de liquidation, Aave supportera la perte car la garantie n’a plus de valeur réelle. Les pertes potentielles s’étalent de 123 à 230 millions de dollars selon la répartition du déficit.
S’agit-il du plus important plan de soutien DeFi à ce jour ?
Oui, c’est le plan de soutien coordonné le plus important de l’histoire de la DeFi. Jusqu’ici, les protocoles victimes assumaient seuls leurs pertes ou lançaient des programmes de retour de fonds/bourses communautaires. DeFi United marque la première mutualisation inter-protocoles de dizaines de milliers d’ETH pour absorber l’impact d’une attaque sur un protocole tiers.
En résumé
DeFi United a déjà réuni environ 70 % de son objectif de 100 000 ETH en moins d’une semaine, avec la participation d’Aave, Mantle, Lido, Kulechov et d’autres. Les prochaines 48 à 72 heures sont décisives. Si la proposition Aave DAO est validée et que le déficit est comblé, la DeFi évite une crise systémique de dette et démontre la capacité de coordination décentralisée à grande échelle. Si la collecte stagne, le safety module d’Aave absorbera la perte, les détenteurs de jetons subiront une dilution et tous les protocoles de prêt devront réviser leur gestion du risque collatéral. L’implication du groupe Lazarus ajoute une dimension géopolitique prise au sérieux par les régulateurs : une opération d’État ayant drainé 575 millions de dollars en 18 jours accélérera sans doute la régulation des bridges. Pour tous les utilisateurs impliqués dans la DeFi, l’évolution de DeFi United est à surveiller cette semaine.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil financier ou d'investissement. Le trading de crypto-monnaies comporte des risques. Faites toujours vos propres recherches avant toute décision d'investissement.
