Rewards Hub 
La valeur totale verrouillée (TVL) de la DeFi a chuté de 99 à 85 milliards de dollars entre le 18 et le 20 avril, soit le recul le plus marqué en deux jours depuis plus d'un an. Cette baisse fait suite à un exploit de 292 millions de dollars visant Kelp DAO, un protocole de liquid restaking dont le token rsETH servait de collatéral dans au moins neuf marchés de prêts. Lorsque le bridge de Kelp a été compromis, rsETH a perdu son ancrage, entraînant la disparition en quelques heures des garanties de milliards de dollars de prêts DeFi. Aave a ainsi subi 6,6 milliards de dollars de retraits, les utilisateurs cherchant à retirer leurs fonds avant une potentielle contagion.
Le chiffre-clé à retenir n'est pas 292 millions, mais plutôt 15 mois : c'est le temps écoulé depuis que CryptoTimes avait relayé l'alerte des ingénieurs LayerZero sur la vulnérabilité du bridge mono-validateur de Kelp DAO. Kelp avait reconnu le risque sans corriger la faille.
Fonctionnement détaillé de l’exploit Kelp
L’attaquant a ciblé le bridge cross-chain de Kelp DAO, reposant sur un unique validateur pour valider les transactions entre Ethereum mainnet et la couche de restaking du protocole. L’équipe sécurité de LayerZero avait signalé en janvier 2025 que cette architecture représentait un « single point of failure » : une clé compromise donne le contrôle total du bridge.
Le 18 avril, l’attaquant a exploité précisément cette faille. Selon les premières analyses, la compromission de la clé validateur aurait été obtenue via une attaque d’ingénierie sociale contre un membre de l’équipe Kelp. Il a alors émis des rsETH non garantis sur Ethereum, déposés aussitôt comme collatéral sur divers protocoles de prêt pour emprunter de l’ETH et des stablecoins, transférés ensuite via plusieurs blockchains, avant que le système d’alerte de Kelp ne détecte l’activité.
Le montant soustrait atteint 292 millions de dollars, mais les conséquences réelles dépassent ce chiffre car rsETH était un pilier de l’infrastructure de nombreux protocoles de prêt DeFi.
Pourquoi 292 millions ont causé 14 milliards de pertes
L’effet domino ne tient pas tant au montant volé qu’à la place de rsETH dans l’écosystème DeFi.
Les tokens de liquid restaking comme rsETH sont conçus pour être modulaires. Après avoir staké de l’ETH, on reçoit du rsETH qu’on utilise comme collatéral pour emprunter, générant des effets de levier. La rentabilité s’accroît, mais le risque systémique aussi.
Quand l’exploit a rompu l’ancrage du rsETH, neuf protocoles ont gelé instantanément leurs marchés rsETH. Les emprunteurs utilisant ce token comme collatéral ont subi soit une liquidation immédiate, soit l’impossibilité de clôturer leur position, les marchés étant figés. La crainte était fondée : si le rsETH peut perdre son ancrage suite à une émission non garantie, tout prêt adossé à ce collatéral n’a plus de valeur sûre.
Aave a subi l’impact le plus fort : 6,6 milliards de dollars retirés en 36 heures, non pas suite à un hack direct, mais suite à la perte de confiance dans la valeur du collatéral rsETH. Un phénomène classique de « bank run » : dès qu’il existe un doute sur la qualité du collatéral, on retire ses fonds sans attendre.
| Protocole | Action entreprise | Retraits estimés |
|---|---|---|
| Aave | Gel des marchés rsETH, pause sur nouveaux dépôts | 6,6 Mds $ |
| Compound | Vote d’urgence pour retirer rsETH | 1,2 Md $ |
| Morpho | Ajustement automatique des paramètres de risque | 890 M $ |
| Euler | Gel des vaults rsETH | 740 M $ |
| Spark (MakerDAO) | Suspension de rsETH comme collatéral | 620 M $ |
D’autres protocoles ont réagi dans les heures suivantes. Au 20 avril, la TVL DeFi était donc tombée à 85 milliards de dollars, soit environ 50 % sous les sommets d’octobre 2025 et à son plus bas niveau depuis avril 2025.
Les 15 mois d’alerte ignorés par Kelp
C’est ici que la faille technique devient un échec de gouvernance.
En janvier 2025, l’équipe sécurité cross-chain de LayerZero publiait une analyse interne sur les bridges de liquid restaking, dont celui de Kelp. L’enquête de CryptoTimes a révélé que LayerZero a explicitement signalé l’architecture mono-validateur comme étant « gravement insuffisante pour garantir des actifs > 50 millions de dollars ». À l’époque, le bridge de Kelp protégeait 180 millions de dollars.
LayerZero a recommandé un ensemble de validateurs en multi-signature, avec au moins cinq validateurs indépendants et un seuil minimum de trois signatures pour valider une transaction inter-chaînes, fournissant conseils techniques et assistance pour la mise en œuvre. L’équipe technique de Kelp a accusé réception du rapport en février 2025.
Quinze mois plus tard, le bridge fonctionnait toujours avec un seul validateur, sans multi-sig ni surcouche de sécurité. Le TVL du protocole est passé de 180 à plus de 400 millions, toujours avec la même architecture jugée déjà inadaptée.
La réaction de la communauté DeFi a été rapide et justifiée : appels à la transparence des audits de sécurité, à l’obligation d’assurance pour les bridges, et à l’imposition d’un seuil minimum de validateurs. Mais ces recommandations circulaient déjà après l’incident Wormhole en 2022 et l’effondrement de Multichain en 2023. Le secteur recommence la même discussion à chaque incident majeur.
Ce que la chute de la TVL révèle sur les risques DeFi
Le seuil de 85 milliards de dollars est significatif au-delà de l’effet d’annonce.
La TVL DeFi avait culminé à près de 170 milliards en octobre 2025 pendant la vague de restaking. La baisse à 99 milliards avant l’exploit Kelp représentait déjà un repli de 42 %, lié à une conjoncture de marché plus faible et à une diminution de l’activité de yield farming. L’incident Kelp a accéléré le déclin de 14 % en deux jours, ramenant la TVL à un niveau inédit depuis la reprise post-bear market 2024.
La nature des retraits compte autant que le volume total. D’après DeFiLlama, les plus forts flux sortants proviennent des protocoles de prêt (Aave, Compound, Euler), plus que des DEX ou des agrégateurs. C’est donc une crise de confiance envers le collatéral, et non de liquidité. Les traders continuent de swapper sur Uniswap et Curve, mais préfèrent éviter de déposer des tokens dans des pools où la qualité du collatéral est incertaine.
À titre de comparaison, la chute de TVL après l’effondrement Terra/Luna en mai 2022 avait atteint 30 milliards de dollars. La perte brute de 14 milliards liée à Kelp est moindre, mais proportionnellement aussi choquante. Le mécanisme est similaire : un token censé préserver sa valeur perd son ancrage, provoquant des défaillances en cascade dans tous les protocoles qui l’avaient intégré comme collatéral.
Quelles réponses des protocoles DeFi ?
Les mesures adoptées par les grands protocoles vont désormais au-delà du gel d’urgence.
Sur Aave, trois propositions sont en discussion : limiter la part d’un même dérivé de staking liquide à 15 % du collatéral total du protocole ; exiger que tous les tokens acceptés comme collatéral disposent d’une assurance bridge au-dessus d’un seuil minimal ; enfin, imposer un audit externe trimestriel pour tout collatéral cross-chain, avec retrait automatique si l’audit n’est pas publié à temps.
Le protocole Spark (MakerDAO) va plus loin : il n’acceptera plus comme collatéral principal un token de liquid restaking dont le bridge n’utilise pas au moins un multi-sig 5-sur-9. Cela exclurait la majorité des tokens de liquid restaking actuellement sur le marché.
Compound a adopté via vote d’urgence, dans les 18 heures suivant l’exploit (un record), la suppression définitive du rsETH et l’instauration d’une période d’examen sécurité de 72h obligatoire pour tout nouveau collatéral (contre 48h auparavant).
Ces mesures sont structurantes, mais essentiellement réactives. L’histoire se répète : une faille systémique identifiée à l’avance, exploitée faute de correctif, puis des mesures ciblées sur ce vecteur – jusqu’au prochain incident sur une faille alors non traitée.
FAQ
Qu’est-ce qui a provoqué la chute de 14 milliards de dollars de la TVL DeFi en deux jours ?
Un exploit de 292 millions de dollars sur le bridge de Kelp DAO ayant fait perdre l’ancrage au rsETH, utilisé comme collatéral dans neuf protocoles majeurs de prêts. Cette perte de confiance a entraîné des retraits massifs, dont 6,6 milliards de dollars rien qu’en 36 heures sur Aave.
L’incident Kelp était-il évitable ?
Les éléments disponibles montrent qu’il aurait pu être évité : LayerZero avait signalé la faille du bridge mono-validateur 15 mois avant l’exploit. Malgré cette alerte, Kelp n’a pas mis en place de solution, alors même que la TVL du protocole a doublé.
La TVL DeFi peut-elle rebondir rapidement ?
Le retour de la confiance dépendra de la rapidité avec laquelle les protocoles mettront en place de nouveaux standards de collatéral et des conditions de marché. La TVL reste 50 % sous les pics d’octobre 2025, et la crise du collatéral renforce la défiance. À l’image de Terra, le retour à la normale pourrait prendre des mois.
Faut-il retirer ses fonds des protocoles de prêt DeFi ?
Le risque concerne surtout les protocoles qui détiennent encore des tokens de liquid restaking sans nouvelle norme de sécurité. Ceux ayant gelé ou retiré rsETH (Aave, Compound, Spark) ont traité la vulnérabilité immédiate. Avant de décider, vérifiez la nature des collatéraux contre lesquels vos actifs sont prêtés.
Conclusion
La DeFi vient de subir sa plus grande crise de collatéral depuis Terra/Luna. Le plus marquant n’est pas le montant volé, mais le fait que la faille était connue, documentée et restée sans réponse pendant 15 mois, alors que le protocole triplait de taille. Avec une TVL ramenée à 85 milliards de dollars, le déficit de confiance risque de durer plus que les correctifs techniques.
Les mesures comme les plafonds de collatéral, les audits de bridges et l’obligation du multi-sig vont dans le bon sens. Mais la vraie faille reste structurelle : la composabilité avancée de la DeFi accroît aussi ses risques systémiques. Tant que la sécurité ne s’adaptera pas à cette interconnexion, chaque token de staking liquide reste un rsETH potentiel.
Surveillez les votes de gouvernance d’Aave dans les prochaines semaines : si la limite de 15 % est adoptée, cela pourrait devenir la nouvelle norme sectorielle et une réelle protection structurelle contre ce type d’exploit.
Cet article a une vocation purement informative et ne constitue pas un conseil financier ou d’investissement. Le trading de crypto-monnaies comporte des risques. Renseignez-vous toujours avant toute décision d’investissement.
