Le piratage de KelpDAO a provoqué un choc systémique au sein du protocole Aave

Une faille critique dans l'infrastructure de pont du protocole KelpDAO a provoqué l'un des chocs de liquidité les plus importants de l'histoire de la DeFi. L'attaquant a exploité une faille pour générer 116 500 faux jetons rsETH, représentant environ 18 % de l'offre totale.

Ces actifs non garantis, d'une valeur marchande de 292 millions de dollars, ont ensuite été déposés dans le protocole Aave en guise de garantie. Cela a permis à l'attaquant d'accéder à des actifs réels sous forme d'ETH, de wETH et de stablecoins, qui ont été immédiatement retirés du système.

La logique simple consistant à « échanger de faux jetons contre de l'argent réel » a déclenché une réaction en chaîne immédiate. Une « ruée bancaire » massive s'en est suivie, les investisseurs se précipitant pour récupérer leurs fonds avant que le système ne soit à court de liquidités disponibles.

De grands acteurs institutionnels, notamment la bourse MEXC et Justin Sun, ont commencé à retirer leurs actifs dans la panique. Cela a entraîné une sortie de liquidités d'Aave dépassant les 6 milliards de dollars en une seule journée.

Ce retrait rapide a fait grimper le taux d'utilisation des pools principaux — ETH, USDT et USDC — à un niveau critique de 100 %. À ce stade, le système s'est effectivement bloqué, et les utilisateurs réguliers ont perdu la possibilité de retirer leurs dépôts.

Afin de tenter d'accéder à au moins une partie de leurs actifs, les utilisateurs se sont rués vers une solution de contournement d'urgence coûteuse. Ils ont commencé à emprunter leur propre argent en utilisant leurs dépôts gelés comme garantie, simplement pour obtenir une forme de liquidités.

Ce phénomène a entraîné une hausse anormale de 300 millions de dollars du volume des prêts. Les analystes soulignent qu'il ne s'agissait pas d'un signe de demande de crédit saine, mais d'un indicateur clair d'une crise où les utilisateurs paient en substance des intérêts pour accéder à leurs propres économies.

En raison des limites de ratio prêt/valeur (LTV) fixées à environ 75 %, les utilisateurs ne pouvaient emprunter qu'une partie de la valeur de leurs actifs. Dans cette course désespérée à la liquidité, ils ont dû accepter des pertes immédiates allant de 10 % à 25 %.

La paralysie systémique s'est progressivement étendue à d'autres marchés. La liquidité s'est tarie dans les pools de stablecoins tels que DAI, GHO et USDe, qui sont devenus totalement indisponibles sur divers marchés DeFi.

Bien que les contrats intelligents d'Aave n'aient pas été directement compromis, les effets secondaires de l'attaque de KelpDAO ont été dévastateurs. Aave a réagi en gelant immédiatement les marchés rsETH sur les versions V3 et V4 afin d'empêcher toute nouvelle exploitation du système.

L'incident dans son ensemble reste un rappel des risques associés à l'interdépendance des protocoles DeFi. Une défaillance à un seul maillon peut paralyser tout un écosystème en quelques heures, obligeant les utilisateurs à payer un prix extrêmement élevé pour récupérer leur propre capital.