Un rapport d'incident publié par Llamarisk sur le forum d'Aave explique qu'une faille de sécurité exploitée samedi dans le pont Layerzero V2 rsETH de KelpDAO a permis à un pirate de détourner 116 500 rsETH de l'adaptateur OFT d'Ethereum sans brûler aucun jeton sur la chaîne source. Le rapport de Llamarisk souligne que cet incident a exposé les marchés Aave V3 à des créances irrécouvrables potentielles allant de 123,7 millions à 230,1 millions de dollars, selon la manière dont les pertes sont réparties. Points clés :
Rapport d'incident : Llamarisk et les fournisseurs de services Aave détaillent le piratage de Kelp rsETH sur les marchés Ethereum et Arbitrum
ÉCRIT PAR
PARTAGER
- Selon Llamarisk, un attaquant a exploité le pont Layerzero V2 de Kelp le 18 avril 2026, frappant 116 500 rsETH sans aucune destruction correspondante.
- Llamarisk estime les créances irrécouvrables entre 123,7 et 230,1 millions de dollars sur les 7 marchés touchés, selon la manière dont Kelp répartit les pertes.
- La trésorerie de l'Aave DAO détient 181 millions de dollars au 20 avril 2026, et les prestataires de services obtiennent déjà des engagements indicatifs de recouvrement de la part des participants à l'écosystème.
Llamarisk détaille les scénarios d'exploitation de rsETH après le vidage de l'adaptateur OFT de Kelp
L'analyse publiée par la société de gestion des risques Llamarisk et les coauteurs prestataires de services Aave explique que l'attaque s'est produite à 17 h 35 UTC dans le bloc Ethereum 24 908 285. La route Unichain-Ethereum était configurée comme un chemin DVN 1-de-1, ce qui signifie qu'un seul vérificateur pouvait attester un paquet entrant sans aucune action sortante correspondante, selon le rapport.
Les auteurs de Llamarisk ont déclaré que l'attaquant avait falsifié un paquet qui a été vérifié, validé et livré sur Ethereum, libérant ainsi 116 500 rsETH de l'adaptateur, note le rapport d'Aave. Le solde de l'adaptateur est passé de 116 723 rsETH à 223 rsETH en un seul bloc. L'attaquant a réparti les rsETH volés depuis un portefeuille d'entrée vers sept adresses de branche. Sur les 116 500 rsETH reçus, 89 567 ont été déposés sur les marchés Aave V3 sur Ethereum et Arbitrum en guise de garantie. Ces positions ont été utilisées pour emprunter environ 82 650 WETH et 821 wstETH, avec des facteurs de santé s'établissant entre 1,01 et 1,03. Les sept adresses de l'attaquant restent actives sur Aave au moment de la publication.
Les fournisseurs de services Aave ont co-rédigé le rapport d'incident complet de Llamarisk et ont confirmé que les contrats intelligents d'Aave n'avaient pas été compromis. Toute la logique du protocole, y compris les mécanismes d'approvisionnement, de remboursement et de liquidation, a continué de fonctionner comme prévu tout au long de l'événement. Le Protocol Guardian a commencé à geler toutes les réserves de rsETH et de wrsETH sur l'ensemble des déploiements Aave V3 vers 19 h 00 UTC le 18 avril. Cette mesure a ramené le LTV à zéro et désactivé les nouveaux approvisionnements et emprunts, tout en laissant les positions existantes éligibles au remboursement et à la liquidation. Onze marchés sur Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma et Zksync ont été affectés, selon l'analyse du forum Aave.
Le rapport indique que le Risk Steward a ajusté les modèles de taux d'intérêt WETH sur Arbitrum, Base, Mantle et Linea vers 14h30 UTC le 19 avril, réduisant la pente 2 à 1,50 % et abaissant le taux d'emprunt à 100 % d'utilisation de 8,5 à 10,5 % à 3,0 % de TAEG. Un ajustement correspondant a été appliqué à Core vers 05 h 00 UTC le 20 avril, avec un Slope 1 fixé à 2 %, un Slope 2 à 3 % et une utilisation optimale fixée à 94 %.
Le Protocol Guardian a également gelé les WETH sur Core, Prime, Arbitrum, Base, Mantle et Linea vers 02h00 UTC le 20 avril afin d'empêcher de nouveaux emprunts et d'éviter que des tensions potentielles ne se propagent aux réserves de stablecoins.
Les deux scénarios
Les deux scénarios modélisés par l'analyse de Llamarisk reflètent la manière dont la décision de Kelp en matière de répartition des pertes déterminera l'exposition finale du protocole. Le scénario 1 suppose une répartition uniforme des 112 204 rsETH non couverts sur l'ensemble de l'offre de rsETH, entraînant un dévirement de 15,12 % et une créance irrécouvrable estimée à 123,7 millions de dollars, Ethereum Core absorbant 91,8 millions de dollars en valeur absolue et Mantle faisant face à un déficit de réserve de WETH de 9,54 %.
Le scénario 2 considère que la perte est isolée aux rsETH de L2 uniquement, en appliquant une décote de 73,54 % aux garanties sur les chaînes distantes tout en laissant les rsETH du réseau principal Ethereum totalement intacts, ce qui entraîne une créance irrécouvrable estimée à 230,1 millions de dollars concentrée sur Mantle avec un déficit de WETH de 71,45 % et sur Arbitrum avec un déficit de 26,67 %.
Le solde actuel de l'adaptateur s'élève à 40 373 rsETH, seule garantie confirmée pour l'ensemble des rsETH des chaînes distantes sur tous les chemins L2, contre un total de créances distantes de 152 577 rsETH. Kelp n'a pas confirmé publiquement comment les fonds récupérés seront alloués.
Au 20 avril 2026, le rapport indiquait que la trésorerie de l'Aave DAO détenait 181 millions de dollars d'actifs, dont 62 millions de dollars d'actifs corrélés à Ethereum, 54 millions de dollars en AAVE et 52 millions de dollars en stablecoins. Le DAO a généré 145 millions de dollars de revenus en 2025 et 38 millions de dollars depuis le début de l'année 2026. Llamarisk a confirmé que plusieurs engagements indicatifs de la part des participants à l'écosystème sont déjà en place pour faire face à d'éventuels scénarios de créances irrécouvrables. Les réserves de WETH sur Ethereum, Arbitrum, Base, Linea et Mantle sont utilisées à 100 %, avec des soldes inactifs inférieurs à 20 $ sur chaque chaîne. En cas d'utilisation maximale, les liquidateurs reçoivent de l'aWETH plutôt que du WETH sous-jacent, ce qui ralentit le débit des liquidations.
Le rapport de Llamarisk a identifié Base et Arbitrum comme les marchés les moins protégés, les premières liquidations étant déclenchées respectivement par des baisses de prix du WETH de 0,77 % et 1,77 %, en raison de positions affichant des facteurs de santé d'environ 1,03.
Le prêteur DeFi Aave fait face à une crise des retraits suite à l'exploitation de la faille rsETH par KelpDAO
Le pool WETH d'Aave a atteint un taux d'utilisation de 100 % à la suite d'une faille de sécurité concernant le rsETH le 18 avril 2026, entraînant entre 177 et 200 millions de dollars de créances irrécouvrables et une chute… read more.
Lire
Le prêteur DeFi Aave fait face à une crise des retraits suite à l'exploitation de la faille rsETH par KelpDAO
Le pool WETH d'Aave a atteint un taux d'utilisation de 100 % à la suite d'une faille de sécurité concernant le rsETH le 18 avril 2026, entraînant entre 177 et 200 millions de dollars de créances irrécouvrables et une chute… read more.
LireLe prêteur DeFi Aave fait face à une crise des retraits suite à l'exploitation de la faille rsETH par KelpDAO
LireLe pool WETH d'Aave a atteint un taux d'utilisation de 100 % à la suite d'une faille de sécurité concernant le rsETH le 18 avril 2026, entraînant entre 177 et 200 millions de dollars de créances irrécouvrables et une chute… read more.
Llamarisk a recommandé une suspension immédiate du module de staking WETH Umbrella dans le cadre du scénario 1. À la date de publication du rapport, 18 922 des 23 507 aWETH mis en staking étaient entrés dans la période de refroidissement de déstaking.
Une suspension bloquerait les dépôts, les retraits, les transferts et les pénalités tout en maintenant la distribution des récompenses active. Les quatre autres marchés cotant le rsETH, Ethereum Lido, MegaETH, Plasma et Zksync, présentent des soldes négligeables et aucune créance irrécouvrable. Douze autres marchés Aave V3 ne cotent pas le rsETH et ne sont pas concernés.
