La finance décentralisée (DeFi) se remet d’une série d’exploits sophistiqués qui ont déclenché un débat intense sur la question de savoir si les protocoles publics de blockchain peuvent réellement gérer le risque systémique.
La crise a culminé en avril 2026, avec l’exploitation de 292 millions de dollars du pont alimenté par LayerZero de KelpDAO qui a déclenché une course de dépôt dévastatrice de 8,45 milliards de dollars sur Aave, la plus grande plateforme de prêt décentralisée au monde. Les retraits massifs ont eu lieu en 48 heures.
Stani Kulechov, fondateur et PDG d’Aave Labs, a défendu la supériorité mathématique d’Aave sur la finance traditionnelle lors de l’événement Proof of Talk à Paris la semaine dernière. Plutôt que de remédier aux échecs opérationnels d’une crise de liquidités de plusieurs millions de dollars qui a failli briser les protections contre l’insolvabilité d’Aave, Kulechov a décidé de présenter la fuite massive des capitaux comme une preuve empirique de la « résilience » du réseau.
« L’infrastructure V3 existante d’Aave a connu plusieurs cycles de marché », a-t-il déclaré, ajoutant qu’« Aave a été très résiliente pendant les périodes de turbulences ».
Cependant, un examen plus attentif de la crise d’avril révèle que la survie d’Aave reposait moins sur une conception autonome sans faille que sur un plan de sauvetage d’urgence chaotique et humain de 300 millions de dollars. L’effort de rétablissement d’urgence a nécessité 25 000 $ETH engagement de l’Aave DAO et un don personnel de 5 000 $ETH (8,4 millions de dollars) de Kulechov lui-même pour éviter le désastre.
Détourner le blâme
Kulechov a séparé le code principal des contrats intelligents des défaillances de l’infrastructure externe ayant un impact sur le marché au sens large.
« En ce qui concerne le développement également… il y a très peu, voire aucun problème, dans les contrats intelligents des protocoles DeFi en général », a soutenu Kulechov. « Il s’agit en fait de dépendances tierces liées à une sécurité plus traditionnelle qui pourraient avoir un impact sur l’ensemble de l’espace DeFi, comme nous l’avons vu récemment. »
Bien que techniquement précis, le piratage d’avril a commencé par une attaque d’usurpation d’identité RPC et DDoS ciblant les nœuds de vérification de LayerZero sur KelpDAO plutôt que par un bug dans le code d’Aave. Les analystes des risques estiment que la défense de Koulechov contourne une réalité plus dure.
La société de modélisation des risques blockchain LlamaRisk a révélé plus tard que les pirates avaient utilisé l’exploit pour créer des garanties sans valeur, les déposer dans Aave et drainer de l’Ether authentique enveloppé (wETH), laissant Aave V3 aux prises avec une créance irrécouvrable estimée à 123,7 millions de dollars. En outre, les analystes bancaires du Bank Policy Institute ont souligné que l’assurance inadéquate d’Aave a révélé à quel point les plateformes DeFi sont vulnérables aux paniques bancaires au détriment de leurs utilisateurs.
Plan pour la V4
Kulechov a reconnu que la menace architecturale de contagion nécessite une refonte complète. Pour éviter que de futures défaillances de pont ne déclenchent des opérations de dépôt systémiques, il a noté qu’Aave Labs utilise sa prochaine mise à niveau V4 pour restructurer fondamentalement sa gestion des risques.
Kulechov a expliqué qu’Aave Labs utilise sa prochaine mise à niveau technologique V4 pour repenser entièrement la gestion des risques dans le but d’empêcher de futurs exploits de pont de déclencher des opérations de dépôt.
Kulechov a expliqué que dans la nouvelle version, un système modulaire « en étoile » remplacera le pooling traditionnel de jetons, permettant au protocole principal de prélever de manière autonome des primes de risque localisées et de geler des lignes de garantie spécifiques avant que la contagion puisse atteindre les réserves de prêt primaires.
« Lorsque vous disposez d’un système entièrement auditable et public, n’importe qui peut inspecter le code et également effectuer différents types d’analyses de risques sur cette base. Je pense que c’est la clé pour créer un logiciel résilient », a-t-il conclu.
La question déterminante pour l’avenir grand public de DeFi reste de savoir si les répartiteurs institutionnels continueront à négliger ces « tests de résistance » de plusieurs milliards de dollars en attendant le lancement de la V4.
