Le plus grand effort coordonné de récupération DeFi de 2026 vient de franchir une étape critique. Aave et KelpDAO ont réussi à graver le rsETH de l’exploiteur sur Arbitrum. La première étape technique majeure dans la restauration du support complet du jeton de reconstitution liquide rsETH. Kelp et Aave ont lancé un plan de recharge de deux semaines, restituant progressivement 117 132 rsETH, d’une valeur d’environ 278 millions de dollars, à l’adaptateur LayerZero OFT. Les équipes prévoient de rouvrir les retraits dans les 24 heures suivant la première tranche. L’actualité d’Aave marque aujourd’hui un tournant dans un effort de reprise qui consume l’industrie DeFi depuis près de quatre semaines.
Comment l’exploit s’est produit
Le 18 avril 2026, des attaquants ont exploité une vulnérabilité critique dans la configuration du pont LayerZero de KelpDAO. L’exploit ciblait une configuration DVN à vérificateur unique. Il s’agit d’une configuration d’attestation 1 sur 1 qui a permis aux attaquants de compromettre les nœuds RPC et de transmettre de fausses données au pont. L’incident s’est produit parce qu’un attaquant a frauduleusement créé et déployé environ 292 millions de dollars de rsETH non soutenu comme garantie sur des protocoles DeFi comme Aave.
Les conséquences immédiates ont été graves. rsETH s’est fortement désindexé. KelpDAO a suspendu tous les retraits, dépôts et opérations de transition. Le Conseil de sécurité d’Arbitrum a gelé 30 766 $ETH lié à l’exploit. L’incident a déclenché plus de 7 milliards de dollars de sorties temporaires de DeFi TVL. Cela a déclenché une bataille juridique lorsque les créanciers américains en matière de terrorisme ont déposé un avis d’interdiction pour tenter de saisir les fonds gelés. $ETH comme propriété nord-coréenne. Une affirmation qu’Aave a contestée avec succès devant un tribunal fédéral.
Le plan de relance en détail
La reprise technique se déroule selon deux pistes parallèles. Premièrement, la recharge de 117 132 rsETH provient de deux sources : le multisig Aave Recovery Guardian et le Kelp Recovery Safe. Les deux entités envoient progressivement ces fonds vers l’adaptateur LayerZero OFT sur le réseau principal Ethereum au cours des deux prochaines semaines. Kelp garantit que rsETH reste entièrement soutenu à tout moment tout au long de ce processus. Les retraits rouvrent dans les 24 heures suivant l’arrivée de la première tranche auprès de l’adaptateur.
Deuxièmement, BailSec a déjà réalisé et audité un processus complet de renforcement de la sécurité. La vérification nécessite désormais quatre attestateurs indépendants plutôt qu’un seul vérificateur. L’équipe a augmenté les confirmations de bloc de 42 à 64. Les développeurs ont également déconseillé tous les itinéraires de pont L2 à L2. KelpDAO migre également vers le CCIP de Chainlink pour une future infrastructure de pontage entre chaînes.
Le fondateur d’Aave, Stani Kulechov, a saisi directement le poids du moment. « Les dernières semaines, y compris les week-ends, ont été incroyablement intenses », a-t-il déclaré. « Rien de tout cela n’aurait été possible sans toute l’équipe travaillant 24 heures sur 24 à cet effort de rétablissement. Nous construisons un nouveau niveau de résilience, et une autopsie suivra avec de nouveaux apprentissages. »
Ce que cela signifie pour les investisseurs et les développeurs
Pour les détenteurs de rsETH et les utilisateurs d’Aave, la réouverture des retraits dans les 24 heures met fin à la période la plus perturbatrice de l’histoire de KelpDAO. Plus précisément, les opérations complètes, les dépôts, les rachats, les ponts et les réclamations reprendront une fois que les contrats ne seront pas suspendus.
Pour les développeurs DeFi et les architectes de protocoles, l’exploit et la récupération KelpDAO établissent plutôt une nouvelle référence pour les normes de sécurité des ponts. Par conséquent, les configurations à vérificateur unique ne sont plus acceptables. En effet, la vérification multi-certificateurs, les exigences élevées de confirmation de bloc et la migration vers une infrastructure éprouvée comme CCIP représentent la nouvelle posture de sécurité minimale viable pour tout protocole inter-chaînes gérant une valeur importante. En fin de compte, DeFi United a tenu ses promesses et l’industrie surveille ce qui sera construit ensuite.
