2,92 milliards de dollars américains de leçons : ce que le vol de rsETH révèle sur la sécurité de la DeFi

Écrire : Liu Jiaolian

Introduction : Une coïncidence chanceuse

Le 18 avril 2026, le pont inter-chaînes rsETH de Kelp DAO a été attaqué, avec un vol d’actifs d’une valeur d’environ 292 millions de dollars. L’attaquant a déposé le rsETH volé dans Aave, empruntant de l’ETH, ce qui a déclenché une panique de créances douteuses. Le taux d’utilisation de l’ETH sur Aave a instantanément grimpé à 100 %, et les fonds de nombreux déposants innocents ont été verrouillés.

Et Jiaolian, deux mois plus tôt, le 5 février, venait de transférer tous ses dépôts sur Aave vers Spark. La motivation était simple : le rendement de Spark était un peu plus élevé que celui d’Aave. Résultat : il a évité cette crise par inadvertance.

Ce n’est ni une prévision, ni un jugement, simplement de la chance. Mais cette chance a amené Jiaolian à réfléchir sérieusement à une question : pourra-t-il encore être aussi chanceux la prochaine fois ?

Profitant de cet incident, Jiaolian a revisité ses erreurs, ses leçons tirées dans le monde DeFi, et ses réflexions finales, qu’il partage ci-dessous.

I. 18.04.2026 : Comment une papillon peut-il battre des ailes

1.1 La nature de l’attaque

À 17h35 UTC le 18 avril, un portefeuille contrôlé par un attaquant a appelé le contrat EndpointV2 de LayerZero, déclenchant le contrat de pont inter-chaînes de Kelp DAO, libérant 116 500 rsETH vers l’adresse de l’attaquant. Selon le prix du marché à l’époque, cela valait environ 292 millions de dollars. [1]

L’attaquant avait obtenu ses fonds 10 heures plus tôt via le pool Tornado Cash d’1 ETH, une méthode courante de mélange de fonds dans les attaques DeFi.

La réaction de Kelp DAO n’a pas été lente. 46 minutes plus tard, leur portefeuille multisignature d’urgence a lancé pauseAll, gelant le contrat principal, empêchant deux tentatives ultérieures de voler environ 100 millions de dollars. [1]

1.2 La propagation du risque à Aave

Mais la véritable tempête ne concernait pas Kelp DAO, mais un protocole de prêt plus connu : Aave.

L’attaquant a déposé le rsETH volé dans Aave comme garantie, empruntant de l’ETH. Cette étape a transformé une attaque externe en un risque de créance douteuse au sein d’Aave. [2]

Le marché a réagi rapidement. Les baleines ont commencé à retirer leur ETH d’Aave. Selon la surveillance de Lookonchain, le taux d’utilisation de l’ETH sur Aave a rapidement atteint 100 %, ce qui signifie qu’il n’y avait presque plus d’ETH disponible pour retirer ou emprunter. [2]

Les utilisateurs innocents, qui n’avaient jamais touché au rsETH et n’avaient que de l’ETH déposé, ont aussi vu leurs fonds verrouillés.

C’est le prix du prêt dans un pool partagé : on n’a pas besoin d’être en contact direct avec le mauvais acteur, tant qu’on partage le même pool, on en subit les conséquences.

1.3 Les risques inhérents au prêt non isolé

Michael Egorov, fondateur de Curve, a tweeté après l’incident : « C’est le risque inhérent au modèle de prêt non isolé que tout le monde aime. Bonne évolutivité, mais risques accrus. La gestion des risques est essentielle, et Aave a bien géré cela dans le passé. » [3]

Il sous-entendait que ce problème n’était pas spécifique à Aave, mais inhérent à ce modèle.

Jiaolian pense que cette analyse est correcte. Mais le problème, c’est que pour un utilisateur ordinaire, il est difficile d’évaluer à l’avance quand un risque va se concrétiser.

II. Moment de contradiction : entendre les paroles vs voir les actions

2.1 La division entre rassurer et agir

Aave a déclaré que la situation était sous contrôle, et que le module de sécurité Umbrella pouvait servir de première ligne de défense. [1]

Mais la vraie discussion portait sur la performance d’Andre Cronje (AC).

AC a tweeté : « Aave a 7 milliards de dollars en dépôts ETH, dont seulement 100 millions ont été retirés, l’impact est minime. Même en cas de créance douteuse, le module de sécurité d’Aave et le token AAVE sont la première ligne de défense. » [4]

En même temps, il a fait retirer tout l’ETH de son protocole PUT, qu’il a fondé. Son explication : « L’objectif principal de PUT est la liquidité utilisateur. La liquidité disponible sur Aave est tombée en dessous de notre seuil minimal, c’est juste une règle déclenchée, pas une indication de faillite d’Aave. » [4]

Sur le plan réglementaire, il n’a pas tort. Mais du point de vue d’un observateur, cela donne une impression : une chose, et son contraire.

2.2 L’histoire qui rime toujours

Ce n’est pas la première fois.

En mai 2022, Luna s’est effondrée. Do Kwon a répété qu’il ne fallait pas paniquer après le dépeg d’UST, que l’algorithme se rétablirait. Ceux qui l’ont cru ont été déçus.

En novembre 2022, FTX a fait faillite. SBF a dit que ses actifs étaient sains, que FTX était en bonne santé. Ceux qui l’ont cru ont aussi été déçus.

Un ami de Jiaolian, qui avait beaucoup d’économies sur FTX, a choisi de retirer ses fonds face à la panique et aux rassurances simultanées. Plus tard, il a dit qu’il ne savait pas si FTX allait vraiment faire faillite, mais il savait qu’en cas de problème, il ne pourrait pas s’enfuir. Alors il a préféré partir en avance.

Ce raisonnement, selon Jiaolian, est ce que tout utilisateur doit garder en tête en période de crise : « Un homme prudent ne construit pas un mur sous une falaise qui pourrait s’effondrer. » On ne sait pas si le mur tombera, mais on sait qu’on n’a pas besoin d’être dessous.

III. Deux expériences de Jiaolian : de l’enfermement à la chance

3.1 La première : Compound verrouillé

En novembre 2025, Jiaolian a déposé des USDC sur Compound. Il n’a pas touché à deUSD, ni compris ce qu’était xUSD.

Mais le 4 novembre, l’équipe de xUSD a reconnu une perte de 93 millions de dollars, et deUSD s’est dépegé. La dépeg de deUSD a suivi. Compound a suspendu les retraits en urgence à 5h du matin. [5]

Les fonds de Jiaolian ont été verrouillés.

Ce jour-là, il a écrit : « On aurait pu, en étant prudent, retirer un jour plus tôt, éviter la panique. Mais là, on a dû suspendre les retraits soudainement, sans même avoir le temps de fuir. » [5]

Heureusement, la perte n’était que de quelques millions, et le module de sécurité a couvert le tout. Finalement, pas de catastrophe.

Mais Jiaolian a retenu une leçon : le risque peut se transmettre. On n’a pas besoin d’être en contact direct avec le mauvais acteur, il suffit d’être dans le même pool pour en subir les conséquences.

3.2 La deuxième : retrait d’Aave

Le 5 février 2026, Jiaolian a transféré ses dépôts Aave vers Spark.

La raison était simple, même un peu banale : le rendement d’Aave avait baissé, celui de Spark était un peu plus élevé. Jiaolian a simplement déplacé ses fonds d’un endroit à rendement faible vers un endroit à rendement plus élevé.

Ce genre d’opération se produit tous les jours. Jiaolian n’avait pas prévu que deux mois plus tard, Aave aurait un problème, ni analysé le risque rsETH, ni eu d’informations privilégiées.

Mais il a évité la crise d’avril par inadvertance.

Il considère cela comme de la chance. Mais il se demande si cette chance n’a pas une certaine nécessité dans le hasard.

3.3 Comparaison des deux expériences

Première : piégé passivement, mais échappé par chance. Deuxième : mouvement actif, évitant le danger sans le vouloir.

Il n’est pas nécessaire de juger si c’est juste ou faux, ni même de le faire. Tant qu’on maintient la liquidité, on peut éviter certains pièges sans le savoir.

Mais ce n’est pas une solution durable. Comme dit le proverbe : « Qui va au bord de la rivière, risque d’être mouillé. »

IV. Un nouveau champ de bataille : l’opacité hors chaîne de Spark

4.1 Un refuge temporaire

Après Aave, Jiaolian a placé une partie de ses fonds dans Spark.

Mais qu’est-ce que Spark ? Spark est une couche de liquidité automatisée qui répartit automatiquement des actifs comme USDS, sUSDS, USDC dans divers protocoles DeFi et produits RWA pour optimiser le rendement. [6]

4.2 Composition des actifs

Selon les données officielles de Spark, la valeur totale des actifs de la couche de liquidité est d’environ 2,1 milliards de dollars.

Jiaolian a noté que plus de 90 % des actifs sont des stablecoins en chaîne, traçables. Mais une partie, gérée par l’institution Anchorage, représente environ 7 %, ce qui correspond à des actifs hors chaîne, non accessibles aux utilisateurs ordinaires.

4.3 Échange de risques

Jiaolian pense que passer d’Aave à Spark n’est pas une mise à niveau de sécurité, mais un échange de risques.

Dans des protocoles comme Aave ou Compound, les risques sont relativement transparents : quels sont les collatéraux, quels sont les seuils de liquidation, le code est open source. Les risques viennent de la volatilité du marché ou d’attaques.

Dans Spark, de nouveaux risques apparaissent : gestion institutionnelle, RWA, stratégies opaques. On ne sait pas ce que Anchorage fait avec ses 150 millions de dollars, ni si on peut suivre en temps réel chaque changement de stratégie.

Ce n’est pas que Spark soit dangereux. Depuis son lancement, Spark gère plus de 4 milliards de dollars sans incident de sécurité. Jiaolian veut dire que tout protocole comporte des risques, mais de types différents. Les utilisateurs doivent connaître ces risques, et ne pas croire aveuglément qu’un protocole est toujours sûr.

V. Comparaison historique : quatre leçons

Jiaolian a rassemblé ses expériences et crises DeFi dans un tableau :

[Tableau non reproduit ici]

Il en tire quatre leçons :

1. Ne pas construire sous un mur dangereux. En cas de signal d’alerte, supposer que le mur va tomber, et partir en avance. Si le mur ne tombe pas, vous avez perdu quelques frais de gaz et quelques jours d’intérêt. Si le mur tombe, vous avez tout conservé.

2. Ne pas croire aux discours rassurants, mais aux actions. Toute déclaration d’un influenceur ou fondateur doit être vérifiée par ses actes. Ceux qui rassurent ne portent pas de responsabilité, ceux qui agissent en portent.

3. Maintenir la liquidité libre. Ne jamais se retrouver dans une situation où l’on veut partir, mais on ne peut pas. Un taux d’utilisation de 100 % est un signal : quand vous voulez partir, il est déjà trop tard.

4. Comprendre l’échange de risques. Avant de choisir un protocole, demandez-vous : quels gains, quels nouveaux risques ? Risques transparents en chaîne vs risques d’institution hors chaîne, volatilité du marché vs erreurs stratégiques. Il n’y a pas de sécurité absolue, seulement des risques différents.

VI. La réponse ultime : sortir du jeu

6.1 Pourquoi se retirer

Jiaolian a compris une chose : tant que vous cherchez à gagner, vous êtes exposé à un certain risque.

Sur Aave, vous subissez le risque de propagation dans le pool partagé. Sur Spark, vous subissez le risque d’opacité institutionnelle. Sur stablecoins, le risque de l’émetteur et de la régulation. Sur BTC encapsulé, le risque de la garde et du pont inter-chaînes.

Changer de protocole, c’est simplement changer de risque. Ce n’est pas une mise à niveau, mais un échange.

6.2 Le plan de Jiaolian

Profiter du marché baissier actuel pour convertir progressivement la majorité ou la totalité de ses fonds DeFi en BTC en chaîne.

Ce n’est pas du wBTC, ni du cbBTC, ni aucun autre actif encapsulé. C’est du BTC natif, conservé dans son propre portefeuille sous contrôle total.

Jiaolian pense que c’est la seule façon dans le monde crypto de posséder un actif sans faire confiance à un tiers.

Pas de dépendance au code, à une équipe, à une garantie, à un garde. La seule dépendance : sa capacité à gérer ses clés privées.

6.3 Coûts et responsabilités

Le BTC en chaîne ne génère pas d’intérêt. C’est le prix à payer.

La gestion des clés privées passe de la dépendance au protocole à la responsabilité personnelle. C’est une responsabilité.

Le processus de conversion comporte aussi des risques, qu’il faut faire avec prudence.

Jiaolian accepte ces coûts, car il estime qu’une sécurité sans dépendance à personne vaut bien quelques pourcents de rendement annuel.

6.4 La dernière parole

Nous sommes entrés dans la crypto pour ne pas faire confiance aux banques. Après tout, dans DeFi, on a fini par faire confiance au code, à l’équipe, aux modules de sécurité, aux influenceurs…

Mais au final, le vrai point de départ reste le plus simple : gérer soi-même ses bitcoins.

Références :

[1] The Block, “Kelp DAO’s rsETH bridge apparently exploited for roughly $292 million in LayerZero-based attack”, 18 avril 2026

[2] Lookonchain, post X sur le taux d’utilisation ETH d’Aave atteignant 100 %, 19 avril 2026

[3] Michael Egorov, post X sur les risques de prêt non isolé, 19 avril 2026

[4] Andre Cronje, post X sur la décision de retrait de PUT, 19 avril 2026

[5] Liu Jiaolian, La tempête papillon, 5 novembre 2025. [Lien]

[6] Spark, Données officielles de la couche de liquidité Spark