#rsETHAttackUpdate

L'exploitation rsETH qui s'est produite le 18 avril 2026 constitue l'incident de sécurité le plus important de l'industrie de la cryptomonnaie cette année, avec environ 293,7 millions de dollars s'écoulant du protocole de restaking liquide KelpDAO. Cette attaque a exploité une vulnérabilité dans le contrat de pont du protocole, créant un effet de cascade qui s'est propagé à diverses plateformes DeFi et révélant un risque systémique critique dans l'infrastructure inter-chaînes.
La méthodologie de cette attaque est sophistiquée mais suit un schéma familier observé dans des exploits de ponts précédents. L'attaquant a exploité un pont compromis pour générer des tokens rsETH sans support, qui ont ensuite été déposés en garantie dans plusieurs protocoles de prêt majeurs, notamment Aave V3, Compound V3 et Euler. En utilisant ces actifs illégaux, l'attaquant a emprunté une grande quantité de WETH et de wstETH, créant plus de $236 millions de dettes douteuses. Les fonds volés ont été répartis entre le réseau principal Ethereum et Arbitrum, respectivement à hauteur de $178 millions et $72 millions, illustrant la nature inter-chaînes de cette exploitation.
Aave apparaît comme le protocole le plus gravement affecté, avec environ 221,39 millions de dollars en garanties rsETH contaminées utilisées pour emprunter environ 190,86 millions de dollars en WETH et 2,33 millions de dollars en wstETH sur les deux instances Ethereum et Arbitrum. Le fournisseur de services du protocole a publié un rapport d'incident décrivant deux scénarios de dettes douteuses allant de 123,7 millions à 230,1 millions de dollars, ce qui a conduit à des mesures immédiates de mitigation des risques, notamment le gel du marché rsETH sur Aave V3 et V4. Ces mesures ont empêché tout dépôt supplémentaire mais ont laissé les positions existantes ouvertes, provoquant un retrait massif d'actifs par les utilisateurs, totalisant 10,1 milliards de dollars, alors que les déposants se précipitaient pour retirer leurs fonds.
La propagation s'est étendue au-delà d'Aave à au moins neuf autres protocoles. Fluid a confirmé avoir suspendu tous les marchés potentiellement exposés au rsETH, tandis que le partenaire de sécurité de Compound a soumis quatre propositions de gouvernance pour ajuster les paramètres de risque sur Comet affecté. SparkLend a gelé son exposition, et Euler a pris des mesures pour contrôler la propagation des risques. L'impact inter-protocol de cette attaque met en évidence une vulnérabilité fondamentale dans l'architecture interconnectée de la DeFi, où des actifs profondément intégrés à travers les prêts, coffres et protocoles de liquidité peuvent transmettre une défaillance instantanément.
La réponse de KelpDAO a impliqué l'arrêt immédiat des contrats sur le réseau principal et plusieurs réseaux de couche 2 après avoir identifié une activité inter-chaînes suspecte. L'équipe a annoncé un partenariat avec LayerZero, Unichain, leur auditeur et des experts en sécurité pour analyser la cause racine. Cependant, la communication entre KelpDAO et les protocoles affectés semble tendue, avec des rapports indiquant que LayerZero n'a pas encore publié de recommandations spécifiques pour modifier la configuration du rsETH DVN, malgré un canal de communication ouvert depuis juillet 2024.
Cet incident soulève de sérieuses questions sur la sécurité des ponts dans l'écosystème de restaking. Comme l'a noté l'expert en sécurité Cyvers, la capacité à créer des actifs synthétiques sans support via un pont compromis, puis à les utiliser pour emprunter des actifs réels, montre à quel point ce type d'exploitation peut évoluer rapidement. Cette attaque démontre que la distribution d'actifs à travers plusieurs chaînes ne répartit pas proportionnellement le risque, et que la conception des ponts est devenue un composant indissociable du profil de risque des actifs dans la DeFi.
Les observateurs de l'industrie ont noté une similitude avec l'exploitation précédente du Drift Protocol, qui s'élevait à $280 millions, et qui a été dépassée par cette attaque. Le schéma utilisant des garanties compromises pour créer des dettes douteuses sur plusieurs plateformes indique que le cadre actuel de gestion des risques pourrait ne pas être suffisant face à la complexité croissante de la DeFi inter-chaînes moderne. La communauté d'Aave devrait discuter de la suppression définitive du rsETH de tous les marchés, suivant le schéma qui a émergé après les incidents de dettes douteuses antérieurs.
Les impacts post-incident continuent de se développer alors que les protocoles évaluent leur exposition et mettent en œuvre des mesures correctives. Cet incident rappelle brutalement que dans un paysage DeFi interconnecté, la sécurité n'est aussi forte que le maillon le plus faible de la chaîne des protocoles intégrés. Alors que l'industrie lutte pour comprendre les implications de cette exploitation, l'attention se tourne vers le développement de cadres d'évaluation des risques inter-chaînes plus robustes et vers une meilleure coordination entre protocoles lors de la détection de vulnérabilités.