Aave propose deux voies pour gérer la créance douteuse de 230 M$ suite au piratage de Kelp DAO

Alvin Lang 21 avr. 2026 04:27

LlamaRisk décrit les scénarios d'allocation des pertes suite à l'exploit de 293 M$ de Kelp DAO, Aave faisant face à une créance douteuse pouvant atteindre 230 M$ selon la décision de Kelp.

La branche de gestion des risques d'Aave a présenté deux scénarios pour absorber les retombées de l'exploit de 293 millions de dollars de Kelp DAO samedi — et la différence entre eux est marquée. Une voie laisse Aave avec 123,7 millions de dollars de créances douteuses. L'autre ? Un trou de 230,1 millions de dollars.

LlamaRisk a publié son analyse lundi, trois jours après que des pirates ont drainé 116 500 tokens rsETH du bridge alimenté par LayerZero de Kelp DAO et les ont immédiatement utilisés comme collatéral sur Aave V3 pour emprunter de l'Ether encapsulé. Cette manœuvre a créé un problème en cascade : des tokens volés garantissant de vrais prêts que les emprunteurs n'ont aucune intention de rembourser.

Les chiffres qui comptent

Le premier scénario répartit les pertes entre tous les détenteurs de rsETH sur le mainnet Ethereum et les layer 2. Créances douteuses : 123,7 millions de dollars. Le compromis ? Un dépeg d'environ 15 % du rsETH par rapport à l'ETH. LlamaRisk note que les réserves de wETH « absorberaient l'essentiel en termes absolus mais le remarqueraient à peine par rapport à la profondeur des réserves ».

Le deuxième scénario concentre l'intégralité du déficit sur les réseaux layer 2 comme Arbitrum et Mantle. Les créances douteuses passent à 230,1 millions de dollars — presque le double.

La décision finale revient à Kelp DAO, pas à Aave. C'est une maigre consolation pour les déposants d'Aave qui voient le protocole perdre du capital. Depuis l'exploit, près de 10 milliards de dollars de valeur totale ont quitté Aave.

Ce dont dispose Aave

Le protocole n'est pas sans défense. LlamaRisk a signalé que 18 922 tokens aWETH d'une valeur d'environ 43,7 millions de dollars sont déjà entrés dans la phase de refroidissement du unstaking dans le cadre du modèle de sécurité Umbrella d'Aave — des fonds qui pourraient couvrir des pertes partielles dans le premier scénario.

La trésorerie d'Aave détient environ 181 millions de dollars, théoriquement suffisants pour remédier à un déficit dans l'un ou l'autre scénario. La question de savoir si la gouvernance approuverait un tel déploiement est une tout autre question.

Comment l'exploit s'est produit

Kelp DAO a fourni des détails supplémentaires lundi. Les attaquants ont compromis deux nœuds validateurs liés à l'infrastructure du bridge de LayerZero tout en frappant un troisième avec une attaque DDoS. Cela leur a permis de forger un message de transfert que le système a approuvé comme légitime, créant 116 500 rsETH sur le bridge.

La cause principale, selon des rapports antérieurs citant LayerZero : une configuration de Decentralized Verifier Network 1-sur-1. Un seul nœud compromis a suffi.

L'équipe de Kelp a agi rapidement après la détection, suspendant les contrats sur Ethereum et les layer 2 et mettant sur liste noire les portefeuilles des exploiteurs. Cette intervention aurait empêché le vol de 40 000 rsETH supplémentaires (95 millions de dollars).

Que se passe-t-il ensuite

Kelp DAO indique qu'il évalue toujours l'impact financier et travaille avec Aave, LayerZero et d'autres parties prenantes sur une voie de récupération. Aucun calendrier pour lever la suspension du protocole n'a été annoncé.

Pour les traders, la préoccupation immédiate est le prix du rsETH. Un dépeg de 15 % dans le premier scénario créerait des opportunités d'arbitrage — mais piégerait également quiconque détient du rsETH comme collatéral ailleurs dans la DeFi. Le risque de contagion qui a rendu cet exploit si dommageable n'est pas terminé ; il attend simplement une décision de gouvernance.

• aave
• kelp dao
• defi
• rseth
• layerzero