Rewards Hub 
Aave, le plus grand protocole de prêt décentralisé qui comptait plus de 20 milliards de dollars de dépôts avant cette semaine, vient d’absorber environ 196 millions de dollars de créances douteuses en lien avec un incident externe. Le 19 avril 2026, le contrat rsETH du Kelp DAO a été vidé de 292 millions de dollars dans ce qui constitue la plus importante attaque DeFi de l’année. L’attaquant a utilisé le rsETH volé comme garantie sur Aave V3, puis a emprunté du WETH. Le problème : après l’attaque, le rsETH n’était plus adossé à aucun actif, rendant la garantie déposée quasiment sans valeur.
En 24 heures, la TVL d’Aave est passée d’environ 22 milliards de dollars à 15,4 milliards, les déposants retirant massivement leurs fonds sur tous les marchés, même ceux qui n’avaient aucune exposition au rsETH. Le token AAVE a chuté entre 16 % et 20 % selon les plateformes. La réserve de sécurité "Umbrella" d’Aave, prévue pour ce type de scénario, pourrait ne pas suffire à combler le déficit de 196 millions de dollars.
Comment l’exploit de Kelp a-t-il affecté Aave ?
L’exploit du Kelp DAO n’était pas lié aux contrats intelligents d’Aave. Kelp est un protocole de liquid restaking construit sur EigenLayer qui émet des rsETH représentant des positions stakées en ETH. Le 19 avril, un pirate a exploité une faille dans le mécanisme de retrait de Kelp, drainant environ 292 millions de dollars d’actifs. Les rsETH restants sont devenus non adossés, se négociant à un prix bien inférieur à leur valeur théorique d’ETH.
C’est à ce moment qu’Aave entre en jeu. Avant que l’équipe de Kelp ne puisse geler les tokens compromis, l’attaquant a déposé une grande partie du rsETH volé sur Aave V3 comme garantie et a emprunté du WETH. L’oracle d’Aave évaluait toujours le rsETH à sa valeur pré-exploit, car la source Chainlink n’avait pas encore intégré la dépréciation. Lorsque la gouvernance d’Aave a gelé les marchés rsETH sur V3 et V4, l’attaquant avait déjà retiré les WETH empruntés, laissant Aave avec une garantie valant bien moins que lors de l’initiation du prêt.
Résultat : environ 196 millions de dollars de créances douteuses concentrées sur la paire rsETH-WETH. Il s’agit d’une perte réelle pour le protocole envers les déposants ayant fourni le WETH emprunté.
Pourquoi 6,6 milliards de dollars ont quitté Aave en 24 heures ?
L’effondrement de la TVL doit davantage inquiéter les utilisateurs DeFi que la créance douteuse elle-même. Cette dernière était isolée à la paire rsETH-WETH sur certains marchés. La majorité des pools de prêts d’Aave n’étaient pas exposées au rsETH. Les fournisseurs de USDC, DAI ou wBTC sur les chaînes non affectées n’ont pas été mis en danger par cet incident.
Mais les déposants n’ont pas attendu d’analyser les détails. Dès que les mots "Aave" et "créance douteuse" sont apparus ensemble, un mouvement de panique s’est déclenché, entraînant des retraits massifs sur tous les marchés et toutes les chaînes. La TVL est passée d’environ 22 milliards à 15,4 milliards de dollars en 24 heures, soit une sortie de 6,6 milliards – 33 fois supérieure à la perte réelle.
Ce schéma n’est pas nouveau dans la DeFi. Lors de l’attaque d’Euler Finance en mars 2023, de nombreux protocoles de prêts ont subi des retraits même s’ils n’étaient pas concernés. Ici, l’effet est plus important car Aave est le leader du secteur. Un retrait de 6,6 milliards sur le protocole phare a un impact qui dépasse une simple baisse de TVL.
Les retraits ont également eu un effet secondaire : la hausse rapide de l’utilisation des pools restantes a fait grimper les taux d’emprunt, ce qui a incité à de nouveaux retraits et renforcé le cercle vicieux. Ainsi, la chute de la TVL a largement dépassé la perte réelle. Cette fuite ne traduit pas une perte, mais un changement de perception du risque chez les déposants.
Que devient le déficit de 196 millions de dollars ?
Aave dispose d’un mécanisme spécifique pour ce type de situation : le module de sécurité Umbrella, un fonds de réserve alimenté par les revenus du protocole et les dépôts d’AAVE stakés, doit couvrir les incidents de créances douteuses. Mais sa taille (80 à 100 millions de dollars estimés en avril 2026) pourrait être insuffisante pour couvrir l’intégralité des 196 millions de dollars de déficit. Le reste, soit 96 à 116 millions de dollars, nécessiterait d’autres mesures décidées par la gouvernance.
Si la réserve Umbrella ne suffit pas, la protection suivante incombe aux détenteurs de stkAAVE, c’est-à-dire ceux qui stakent leurs jetons AAVE en contrepartie d’une partie des frais du protocole, tout en acceptant le risque de "slashing" en cas de besoin. Une proposition pourrait amener à couper une partie du staking pour couvrir la perte restante, un risque qui est actuellement intégré dans les décisions des détenteurs stkAAVE.
Stani Kulechov, fondateur d’Aave, a confirmé que l’exploit était externe et n’impliquait aucun défaut des contrats Aave. « Le protocole Aave a fonctionné comme prévu », a-t-il déclaré, soulignant que la faille provenait du code de Kelp. Cette distinction est techniquement exacte, mais peu rassurante pour les déposants ayant perdu l’accès à leurs fonds WETH du fait d’une garantie devenue sans valeur.
Que montre l’évolution du prix du token AAVE ?
Le token AAVE a chuté de 16 à 20 % dans les heures suivant l’annonce de l’exploit, passant d’environ 280 à un plus bas autour de 224 dollars avant de se stabiliser près de 235 dollars. Cette baisse reflète deux craintes : l’impact financier direct de la créance douteuse et le risque de "slashing" pour les stkAAVE, ainsi que l’impact réputationnel pour le protocole.
Le token a partiellement rebondi mais reste en dessous de ses niveaux d’avant incident. La trajectoire dépendra de la gestion de la perte par la gouvernance : une résolution rapide via la réserve Umbrella et/ou un slashing mesuré pourrait restaurer plus vite la confiance qu’un long débat. Si le processus traîne ou si d’autres incidents liés à des tokens de restaking émergent, le token pourrait revenir à ses plus bas.
Un point à surveiller : le comportement des gros porteurs d’AAVE. Au cours des 48 premières heures, on a observé des achats sous 230 dollars et des transferts vers les plateformes d’échange, signalant une incertitude du marché, qui devrait se clarifier à mesure que la gouvernance prendra des décisions.
Conséquences pour les protocoles de prêt DeFi
L’incident Kelp-Aave met en lumière une vulnérabilité structurelle commune à tous les protocoles de prêt : la dépendance aux oracles pour valoriser les garanties. Si un incident externe rend une garantie sans valeur plus vite que l’oracle ne le reflète, le protocole supporte la perte. Le code d’Aave a fonctionné comme prévu, mais la sécurité des dépôts dépend aussi de celle de tous les protocoles dont les tokens servent de garantie.
Ce risque de composabilité lié au restaking était déjà souligné depuis le lancement d’EigenLayer. Les tokens de liquid restaking comme rsETH, rswETH et ezETH encapsulent des positions complexes dans de nouveaux dérivés utilisés en garantie sur la DeFi. Chaque couche additionnelle ajoute une dépendance, et si une couche cède, tous les protocoles au-dessus en pâtissent.
On peut s’attendre à ce que les principaux protocoles de prêts réexaminent leurs critères de collatéral pour les tokens de liquid restaking dans les prochaines semaines. Compound, MakerDAO et d’autres plateformes pourraient revoir leurs paramètres de gestion des risques, voire retirer temporairement ces actifs des listes de collatéraux.
Pour les déposants, la leçon est que les smart contracts éprouvés protègent contre les failles du protocole de prêt lui-même mais pas contre les risques liés aux garanties externes. Diversifier sur plusieurs plateformes réduit le risque de protocole unique, mais l’incident Kelp montre que même les pools non concernées peuvent subir des retraits massifs. La véritable diversification passe aussi par la variété des garanties utilisées.
Foire aux questions
Aave a-t-il été piraté ?
Non, les contrats d’Aave n’ont pas été compromis. La créance douteuse provient d’un exploit externe du rsETH de Kelp DAO. L’attaquant a utilisé le rsETH volé comme garantie pour emprunter du WETH ; lorsque le rsETH a perdu son support, la garantie est devenue sans valeur alors que les fonds empruntés avaient déjà été retirés.
Combien Aave a-t-il perdu dans l’exploit Kelp ?
Aave a absorbé environ 196 millions de dollars de créances douteuses sur la paire rsETH-WETH. La TVL du protocole a aussi chuté de 6,6 milliards en raison de retraits massifs, bien que la majorité de ces retraits ait été préventive.
Les détenteurs de stkAAVE vont-ils subir une perte ?
C’est possible. La réserve Umbrella ne couvrira peut-être pas entièrement le déficit de 196 millions de dollars, et la gouvernance pourrait décider de réduire une partie du staking pour combler l’écart. Ce risque est inhérent à la détention de stkAAVE, en échange d’une partie des frais du protocole. Aucune proposition n’a été votée à la date du 20 avril.
Est-il sûr de déposer sur Aave après cet événement ?
Les contrats d’Aave restent fonctionnels et n’ont pas été compromis. Le risque provient des actifs de garantie acceptés sur la plateforme. Les déposants doivent vérifier les garanties actives dans les pools où ils investissent et garder à l’esprit que les dérivés de restaking comportent des risques additionnels par rapport à des actifs plus simples comme ETH ou USDC.
À retenir
L’exploit de Kelp a coûté 196 millions de dollars à Aave sous forme de créances douteuses et a provoqué des retraits de 6,6 milliards, mais le code du protocole n’a jamais été violé. La véritable vulnérabilité révélée concerne le risque de composabilité dans le prêt DeFi, en particulier la dépendance à des protocoles externes de restaking comme collatéral. La gouvernance devra décider dans les 7 à 14 jours à venir comment utiliser la réserve Umbrella et si un "slashing" des stkAAVE est nécessaire. Une résolution rapide pourrait permettre un retour des dépôts ; en cas de lenteur ou de nouveaux incidents, tous les protocoles de prêt DeFi devront reconsidérer leurs critères de collatéral. Les protocoles qui réajusteront rapidement leurs standards pour les tokens de restaking pourraient attirer les capitaux les plus prudents.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil financier ou d’investissement. Le trading de crypto-monnaies comporte des risques importants. Faites toujours vos propres recherches avant toute décision d’investissement.
