Un effort coordonné de secours en finance décentralisée (DeFi) aurait recueilli 160 millions de dollars pour couvrir la dette impayée créée lorsque des attaquants ont exploité le pont de KelpDAO et déposé des garanties non-backed dans les marchés Aave V3 le 18 avril 2026.
Principaux points à retenir :
- Aave a gelé les réserves de rsETH dans les heures suivant l'exploitation de Kelp DAO le 18 avril, ce qui a créé jusqu'à 230,1 millions de dollars de dette impayée.
- DeFi United a levé $160M d'ici le 25 avril, avec Mantle et Aave DAO s'engageant à hauteur de 55 000 ETH combinés.
- Les votes de gouvernance sur la contribution de 25 000 ETH d'Aave DAO sont en cours alors que le protocole travaille à restaurer complètement le backing de rsETH.
DeFi United collecte $160M pour soutenir Aave
L'exploitation a commencé à 17h35 UTC, au bloc Ethereum 24 908 285. Les attaquants ont ciblé le pont Layerzero V2 de Kelp DAO sur la route rsETH Unichain vers Ethereum, qui était configuré comme un DVN 1-sur-1 sans vérificateurs supplémentaires. Ils ont soumis un paquet entrant falsifié qui a créé 116 500 jetons rsETH non-backed, évalués à environ 292 millions de dollars à l'époque, sans verrouillage ou brûlage correspondant sur la chaîne source.
L'attaquant a agi rapidement. Environ 89 567 rsETH, d'une valeur d'environ 221 millions de dollars, ont été déposés en tant que garantie sur les marchés Aave V3 sur Ethereum et Arbitrum. L'attaquant a ensuite emprunté environ 82 650 WETH, d'une valeur d'environ 191 millions de dollars, plus de petites quantités de wstETH.
Les positions ont été laissées avec des facteurs de santé compris entre 1,01 et 1,03, rendant un remboursement complet peu probable. Les contrats intelligents d'Aave n'ont pas été exploités. La dette impayée provenait entièrement du collatéral externe non-backed.
Le gardien du protocole d'Aave a répondu en quelques heures. Vers 19h00 UTC le 18 avril, toutes les réserves de rsETH et wrsETH sur les déploiements V3 ont été gelées, les ratios prêt/valeur ont été fixés à zéro, et les modèles de taux d'intérêt ajustés pour gérer la pression de liquidité.
Aave Labs et le gestionnaire de risques Llamarisk ont publié un rapport officiel d'incident le 20 avril. Le rapport a modélisé deux scénarios de perte selon la façon dont Kelp DAO socialise le déficit. Dans le premier scénario, une coupe uniforme pour tous les détenteurs de rsETH génère environ 123,7 millions de dollars de dette impayée sur Aave. Dans le second, des pertes isolées aux détenteurs de rsETH L2 entraînent environ 230,1 millions de dollars de dette impayée, Mantle et Arbitrum étant les plus exposés. D'autres estimations plaçaient l'exposition totale d'Aave entre 196 millions et 200 millions de dollars.
Le marché a réagi vivement. La valeur totale verrouillée d'Aave est tombée entre 6 milliards et 9 milliards de dollars dans les jours suivant l'incident. Le prix d'AAVE a chuté de 10 % à 22 % dans l'immédiat. Les pertes de TVL en DeFi plus larges ont dépassé 13 milliards de dollars selon certains rapports.
Pour contenir les répercussions, les fournisseurs de services Aave ont lancé DeFi United, un fonds de secours multi-protocoles dirigeant les contributions vers defiunited.eth, adresse Ethereum 0x0fCa5194baA59a362a835031d9C4A25970effE68. Le fonds vise le déficit de rsETH, initialement estimé entre 68 900 et plus de 100 000 ETH, en fonction des récupérations et des chiffres finaux de la dette impayée.
Le samedi, Arkham Intelligence a confirmé que DeFi United avait levé 160 millions de dollars. Mantle et Aave DAO ont conjointement contribué 55 000 ETH, représentant environ 127 millions de dollars de ce total. Mantle a proposé jusqu'à 30 000 ETH structurés comme une facilité de crédit sur trois ans à un rendement de staking Lido plus 1 %. Aave DAO a proposé 25 000 ETH provenant de sa trésorerie, avec un vote de gouvernance toujours en cours.
Le fondateur et CEO d'Aave, Stani Kulechov, s'est engagé à fournir 5 000 ETH de ses fonds personnels. Ether.fi a promis 5 000 ETH. Lido DAO a offert jusqu'à 2 500 stETH. Parmi les plus petits contributeurs figurent la Golem Foundation avec 1 000 ETH, le VP d'Aave Emilio Frangella avec 500 ETH, et des dons communautaires de plus de 272 ETH rapportés onchain. Ethena, Layerzero, Ink Foundation, Frax, et Tydro ont également apporté leur soutien.
Le Conseil de sécurité d'Arbitrum a gelé une partie des fonds de l'attaquant, réduisant l'écart net que le fonds doit couvrir. Un paquet malveillant supplémentaire de 40 000 rsETH a été annulé et récupéré par Kelp avant qu'il ne puisse être traité.
DeFi United est décrit par les participants comme l'une des plus grandes initiatives de récupération coordonnées de l'histoire de la DeFi. Les votes de gouvernance sur les contributions en attente restent actifs, et le fonds continue d'accepter des dons alors que le protocole travaille à restaurer le plein backing de rsETH et à éliminer la dette impayée restante.
