18 avril 2026 : un tournant décisif pour Aave — l’un des principaux protocoles de prêt, jusque-là épargné par toute faille de sécurité sur ses contrats intelligents — lorsqu’une attaque visant le pont inter-chaînes de Kelp DAO a laissé une marque durable. L’attaquant a généré environ 116 500 rsETH à partir de rien, les a ensuite déposés en garantie sur Aave, a emprunté une quantité importante d’ETH réel, puis a disparu. La valeur totale verrouillée (TVL) d’Aave a chuté de près de 26,4 milliards de dollars à 18 milliards de dollars en seulement deux jours, soit plus de 8 milliards de dollars évaporés. Parallèlement, les taux d’emprunt sur les stablecoins chez Aave se sont envolés à 15 %, et le CoinDesk Overnight Rate (CDOR), qui utilise Aave comme indice sous-jacent, a atteint son plus haut niveau depuis le début de 2024.
D’un côté, la TVL s’est effondrée et la menace de créances douteuses s’est accrue ; de l’autre, les taux de dépôt sur les stablecoins ont frôlé un niveau exceptionnel de 14 %.
Comment une attaque sans toucher aux contrats intelligents a ébranlé le plus grand protocole de prêt DeFi
À 17h35 (UTC) le 18 avril 2026, le pont inter-chaînes rsETH, construit par Kelp DAO sur la technologie LayerZero, a été la cible d’une attaque. En 46 minutes, l’attaquant a forgé des messages inter-chaînes et libéré illicitement environ 116 500 rsETH depuis le réseau principal Ethereum, pour une valeur d’environ 293 millions de dollars à l’époque — soit près de 18 % de l’offre totale en circulation du token.
Cet incident est ainsi devenu la plus grande attaque sur un protocole DeFi en 2026 à ce jour.
Immédiatement après l’attaque, les gardiens et gestionnaires de risques du protocole Aave ont gelé toutes les réserves rsETH et wrsETH sur 11 marchés, fixé le LTV à zéro, réduit les taux multi-chaînes sur le WETH et suspendu les prêts en WETH. Stani Kulechov, fondateur d’Aave, a confirmé que les contrats intelligents d’Aave n’avaient pas été compromis et que la logique du protocole était restée intacte.
Bien que l’attaque n’ait pas visé les contrats centraux d’Aave, elle a mis en lumière un risque structurel longtemps sous-estimé dans la composabilité DeFi : une faille de configuration dans un protocole externe peut se propager via les chaînes de collatéraux, déclenchant des crises de liquidité et une accumulation de créances douteuses dans des systèmes de prêt d’envergure comme Aave. Le protocole lui-même n’a pas été compromis, mais la défaillance de crédit d’un actif en amont a eu un impact direct sur les pools de liquidité en aval.
De la vulnérabilité du pont à la contagion systémique
Chronologie complète des événements :
| Heure (2026, UTC) | Événement clé |
|---|---|
| 18 avril, 17h35 | L’attaquant envoie des messages inter-chaînes falsifiés au contrat du pont Kelp DAO, libérant illégalement 116 500 rsETH |
| Dans les 6 minutes suivant l’attaque | L’attaquant dépose des rsETH sur les marchés Aave V3 et V4 via 8 adresses prédéfinies et emprunte du WETH |
| Dans les 46 minutes suivant l’attaque | Le groupe multisignature d’urgence de Kelp DAO gèle les composants centraux du protocole, bloquant avec succès deux tentatives de retrait supplémentaires totalisant 40 000 rsETH (environ 100 millions de dollars) |
| Tôt le 19 avril | Les gardiens d’Aave gèlent toutes les réserves rsETH/wrsETH sur 11 marchés, fixent le LTV à zéro |
| 19 avril | Selon DefiLlama, la TVL d’Aave passe d’environ 26,3 milliards à 18 milliards de dollars, soit une perte d’environ 8,3 milliards en deux jours |
| 20 avril | LayerZero publie une enquête préliminaire attribuant l’attaque au groupe Lazarus (TraderTraitor) de Corée du Nord |
| 21 avril | Le Security Council d’Arbitrum gèle 30 766 ETH (environ 71 millions de dollars) impliqués dans l’attaque |
La transmission rapide de cette attaque aux pools de prêts centraux d’Aave est étroitement liée à la fonctionnalité E-Mode de la V3, permettant des prêts à haute efficacité. En utilisant rsETH comme collatéral dans l’E-Mode, l’attaquant a pu emprunter du WETH jusqu’à un ratio prêt/valeur (LTV) de 93 %, réalisant presque un échange d’actifs 1:1. Si ce mécanisme optimise l’efficacité du capital en conditions normales, il amplifie les pertes en cas de défaillance du crédit du collatéral.
Ampleur des créances douteuses, volatilité des taux et flux de capitaux on-chain
Chute brutale de la TVL d’Aave
Avant l’incident, la TVL d’Aave s’élevait à environ 26,4 milliards de dollars. En deux jours, elle est tombée à près de 18 milliards, soit une baisse de plus de 31 %. Les analystes on-chain ont rapporté des sorties quotidiennes de 6,6 milliards de dollars d’Aave, dont 3,3 milliards en stablecoins. À l’échelle de la DeFi, la TVL totale a reculé de 99,49 milliards à 86,29 milliards de dollars, soit une perte de 13,2 milliards.
Les pools USDT et USDC de la V3 d’Aave ont atteint 100 % d’utilisation, signifiant que tous les actifs disponibles étaient empruntés, empêchant temporairement les déposants de retirer leurs fonds.
Estimation de l’ampleur des créances douteuses selon deux scénarios
Selon un rapport du prestataire de services de risque LlamaRisk pour Aave, l’ampleur des créances douteuses dépend de la répartition des pertes :
- Scénario 1 (répartition globale au prorata) : créances douteuses estimées à environ 123,7 millions de dollars, avec le marché Core Ethereum principalement touché.
- Scénario 2 (pertes limitées à la L2) : créances douteuses estimées à environ 230,1 millions de dollars, avec un déficit de réserve WETH pouvant atteindre 71,45 % sur Mantle et 26,67 % sur Arbitrum.
La trésorerie de la DAO Aave détient actuellement environ 181 millions de dollars d’actifs, couvrant intégralement le scénario 1 mais laissant un déficit de 49 millions dans le scénario 2, nécessitant des réserves supplémentaires ou un soutien externe.
Le taux CDOR grimpe à 15 %
Les sorties massives de capitaux ont fait grimper les taux de dépôt USDT et USDC sur Aave jusqu’à 13,4 %, tandis que les taux d’emprunt atteignaient 15 %. Le CoinDesk Overnight Rate (CDOR) — indice publié par CoinDesk Indices, basé sur les pools de prêts flottants en stablecoins de la V3 d’Aave — a également atteint son plus haut niveau depuis 2024, à 15 %.
Le CDOR a été conçu comme un taux de référence standardisé pour les marchés monétaires de stablecoins, facilitant la couverture des coûts, la fixation des rendements et les stratégies de taux croisés. Habituellement, il oscille entre 2 % et 5 %. Le taux actuel de 15 % est 3 à 7 fois supérieur à la normale, reflétant un déséquilibre extrême de liquidité.
Flux de capitaux — migration structurelle d’Aave vers Spark
Alors qu’Aave subissait d’importantes sorties, d’autres grands protocoles de prêt affichaient des tendances contrastées :
- Aave : dépôts totaux passés de 48,5 milliards à 30,7 milliards de dollars en trois jours, soit une sortie nette d’environ 15,1 milliards (baisse de 31 %).
- Morpho : baisse de 11,7 à 10,2 milliards, soit une sortie nette de 1,5 milliard, impact limité.
- Spark (SparkLend) : la TVL a progressé à contre-courant, passant de 1,9 à 3,2 milliards, soit une entrée nette de 1,3 milliard.
Ces données illustrent la divergence de perception du risque chez les acteurs du marché. Certains fonds institutionnels sortis d’Aave ont migré vers des plateformes perçues comme plus sûres, Spark apparaissant comme le principal bénéficiaire.
Analyse du sentiment de marché : comment les parties prenantes évaluent les perspectives de reprise d’Aave
Avis des principaux analystes :
Le fondateur de DefiLlama, @0xngmi, a exposé deux scénarios. Selon la gestion des 71 millions de dollars d’ETH gelés sur Arbitrum, la créance douteuse d’Aave pourrait varier entre 17 et 341 millions de dollars. Il estime qu’avec la trésorerie du protocole et les ajustements nécessaires, les protocoles concernés peuvent « se remettre complètement ».
Haseeb Qureshi, Managing Partner chez Dragonfly, a déclaré : « AAVE devra peut-être absorber une partie de la créance douteuse, mais dispose de suffisamment d’actifs nets pour rembourser. »
Blockworks Research a souligné que l’incident Kelp a révélé des risques structurels dans les pools de liquidité unifiés — les pertes d’un pool de prêts unique pouvant être « socialisées » sur l’ensemble des déposants, ce qui conduit à une sous-estimation systémique des risques propres à certains collatéraux.
Indicateurs quantitatifs du sentiment de marché :
Selon les données marché de Gate, au 23 avril 2026, le prix du token AAVE était de 91,64 dollars, en baisse de 1,95 % sur 24 heures, avec un volume d’échanges sur 24 heures de 7,76 millions de dollars. Sa capitalisation boursière atteignait 1,38 milliard, la capitalisation diluée totale 1,46 milliard, et le ratio market cap/FDV 94,85 %. Sur 7 jours, AAVE a reculé de 13,81 % ; sur 30 jours, de 16,27 % ; et sur un an, de 42,05 %.
Points clés de divergence d’opinion :
Le débat sur les perspectives de reprise d’Aave s’articule autour de trois axes principaux :
Premièrement, les limites de couverture des créances douteuses. Les optimistes estiment que la trésorerie d’Aave (181 millions) suffit à couvrir les 123,7 millions du scénario 1. Les pessimistes craignent qu’en cas de réalisation du scénario 2 (230,1 millions de pertes), le déficit de trésorerie oblige les stakers stkAAVE à absorber le reste.
Deuxièmement, la fenêtre de reprise de la liquidité. Certains analystes anticipent que le blocage des pools à 100 % d’utilisation pourrait durer plusieurs semaines, pendant lesquelles le droit de retrait des déposants serait de fait « suspendu ». D’autres avancent que le taux CDOR à 15 % constitue le régulateur de marché le plus efficace, attirant à nouveau les capitaux en quête de rendement.
Troisièmement, la permanence de la perte de parts de marché. Aave a perdu environ 15,1 milliards de dollars de dépôts en 3,5 jours, tandis que Spark en a absorbé 1,3 milliard. Reste à savoir si cela marque une recomposition structurelle du marché du prêt DeFi.
Impact sectoriel : mécanique de l’arbitrage CDOR et enseignements structurels
Décryptage on-chain de la logique d’arbitrage :
À 15 %, le CDOR ouvre une fenêtre d’arbitrage rare pour les détenteurs de stablecoins dans l’histoire de la DeFi. La logique de base est la suivante :
Déposer des USDC/USDT permet d’obtenir un rendement annualisé d’environ 13,4 %, alors que les marchés financiers traditionnels proposent des rendements équivalents (fonds monétaires, etc.) de 4 à 5 %. Cet écart de 8 à 9 points de pourcentage fonde l’opportunité d’arbitrage.
Cependant, les arbitragistes doivent évaluer trois dimensions de risque clés :
Premièrement, le risque d’immobilisation de liquidité. Les pools de stablecoins de la V3 d’Aave sont à 100 % d’utilisation. Les nouveaux dépôts bénéficient immédiatement de taux élevés, mais les retraits dépendent du remboursement des emprunteurs ou de nouveaux dépôts entrants. Les arbitragistes font donc face à un risque de décalage de maturité — le prix du rendement élevé étant l’incertitude sur la sortie.
Deuxièmement, l’incertitude sur les mécanismes de couverture des créances douteuses. Si Aave couvre les pertes via le module de sécurité Umbrella ou la trésorerie, le principal des déposants reste protégé. Si les pertes sont socialisées, les taux actuels pourraient ne pas compenser d’éventuelles pertes en capital. Cette incertitude constitue le principal frein à l’entrée de capitaux d’arbitrage à grande échelle.
Troisièmement, la durée des taux élevés. Ces taux résultent d’une crise de liquidité, non d’une rentabilité accrue du protocole. Dès qu’une solution aux créances douteuses sera trouvée ou que la confiance reviendra, les taux pourraient se normaliser en quelques heures. Les arbitragistes doivent donc bien jauger la durée de la fenêtre.
Évolutions structurelles dans la concurrence entre protocoles de prêt DeFi :
L’incident Kelp pourrait avoir un impact sur la DeFi bien au-delà d’une simple attaque. Blockworks Research note que les sorties massives de dépôts d’Aave pourraient constituer la première brèche réelle dans son « fossé de liquidité ». Si les déposants perçoivent de plus en plus « l’isolement du risque » comme une caractéristique à valeur ajoutée, ces événements pourraient accélérer une réallocation structurelle des capitaux entre protocoles de prêt.
Par ailleurs, la sortie d’Aave V4 est attendue pour la mi-2026, avec une architecture « hub-and-spoke » visant à renforcer les liquidations inter-chaînes et les cadres de conformité institutionnelle. Le calendrier de lancement de la V4 face à la reprise post-crise sera un indicateur clé du retour de compétitivité d’Aave.
Conclusion
La crise traversée par Aave constitue essentiellement un test de résistance extrême du paradigme de composabilité DeFi. Les contrats centraux du protocole sont restés intacts, mais la défaillance de crédit d’actifs en amont s’est propagée via les chaînes de collatéraux, déclenchant une réaction en chaîne dans un système de prêt pesant plusieurs milliards de dollars. Cela rappelle à l’industrie que, dans la DeFi, la sécurité d’un protocole dépend non seulement de son propre code, mais aussi de ses connexions à l’écosystème et de la conception de ses voies de transmission du risque.
La flambée du CDOR à 15 % est à la fois un avertissement et un signal d’autorégulation du marché. Des taux élevés servent de régulateur de liquidité : ils pénalisent l’emprunt excessif, récompensent les déposants acceptant le risque d’immobilisation, et finissent par guider le retour du capital. L’équilibre entre la résolution des créances douteuses et le rétablissement de la confiance façonnera l’évolution d’Aave et du secteur du prêt DeFi dans son ensemble. Pour les acteurs du marché, comprendre l’ensemble de la chaîne logique de cet événement sera bien plus précieux à long terme que de courir après les variations de taux à court terme.
