Aave et Kelp DAO brûlent l’rsETH de l’exploitant, un réapprovisionnement de 278 millions de dollars commence

Le plus grand effort de récupération coordonné en DeFi de 2026 vient d’atteindre un jalon critique. Aave et KelpDAO ont réussi à brûler l’rsETH de l’exploitant sur Arbitrum. C’est la première étape technique majeure pour restaurer le soutien complet du jeton de liquidité rsETH. Kelp et Aave ont lancé un plan de réapprovisionnement de deux semaines, restituant progressivement 117 132 rsETH, d’une valeur d’environ 278 millions de dollars, à l’adaptateur OFT de LayerZero. Les équipes s’attendent à rouvrir les retraits dans les 24 heures suivant la première tranche. Les nouvelles d’Aave aujourd’hui marquent un tournant dans un effort de récupération qui a consumé l’industrie DeFi pendant près de quatre semaines.

Comment l’exploit a eu lieu

Le 18 avril 2026, des attaquants ont exploité une vulnérabilité critique dans la configuration du pont LayerZero de KelpDAO. L’exploit ciblait une configuration DVN à vérificateur unique. C’est une configuration d’attestation 1-sur-1 qui a permis aux attaquants de compromettre les nœuds RPC et de fournir de fausses données au pont. L’incident s’est produit parce qu’un attaquant a frauduleusement frappé et déployé environ 292 millions de dollars en rsETH non soutenus comme garantie à travers des protocoles DeFi comme Aave.

Les conséquences immédiates ont été sévères. L’rsETH a fortement dépegé. KelpDAO a suspendu tous les retraits, dépôts et opérations de pont. Le Conseil de sécurité d’Arbitrum a gelé 30 766 ETH liés à l’exploit. L’incident a déclenché plus de 7 milliards de dollars de sorties temporaires de TVL DeFi. Il a suscité une bataille juridique lorsque des créanciers de jugement pour terrorisme aux États-Unis ont déposé un avis de restriction tentant de saisir l’ETH gelé comme propriété nord-coréenne. Une réclamation qu’Aave a contestée avec succès devant le tribunal fédéral.

Le plan de récupération en détail

La récupération technique se déroule en deux pistes parallèles. Tout d’abord, le réapprovisionnement de 117 132 rsETH provient de deux sources : le multisig Aave Recovery Guardian et le Kelp Recovery Safe. Les deux entités envoient progressivement ces fonds dans l’adaptateur OFT de LayerZero sur le mainnet Ethereum au cours des deux prochaines semaines. Kelp s’assure que l’rsETH reste entièrement soutenu à tout moment tout au long de ce processus. Les retraits rouvrent dans les 24 heures suivant l’arrivée de la première tranche dans l’adaptateur.

The first set of steps in the rsETH technical recovery plan are complete, including burning the exploiter's rsETH on Arbitrum. Progressively refilling the LayerZero OFT adapter and reopening rsETH operations will follow over the coming days. https://t.co/p1tiIzp5Nr

— Aave (@aave) May 12, 2026

Deuxièmement, BailSec a déjà terminé et audité un passage complet de durcissement de la sécurité. La vérification nécessite désormais quatre attestateurs indépendants plutôt qu’un seul vérificateur. L’équipe a augmenté les confirmations de blocs de 42 à 64. Les développeurs ont également déprécié tous les itinéraires de pont L2 à L2. KelpDAO migre également vers le CCIP de Chainlink pour l’infrastructure de pont inter-chaînes future.

Le fondateur d’Aave, Stani Kulechov, a directement capturé le poids du moment. « Les dernières semaines, y compris les week-ends, ont été incroyablement intenses », a-t-il déclaré. « Rien de tout cela n’aurait été possible sans toute l’équipe travaillant jour et nuit sur cet effort de récupération. Nous construisons un nouveau niveau de résilience, et un post-mortem suivra avec de nouveaux enseignements. »

Ce que cela signifie pour les investisseurs et les développeurs

Pour les détenteurs d’rsETH et les utilisateurs d’Aave, la réouverture des retraits dans les 24 heures met fin à la période la plus perturbante de l’histoire de KelpDAO. Plus précisément, les opérations complètes, les dépôts, les rachats, les ponts et les réclamations reprendront une fois que les contrats seront déverrouillés.

Pour les développeurs DeFi et les architectes de protocoles, l’exploit et la récupération de KelpDAO établissent plutôt une nouvelle référence pour les normes de sécurité des ponts. Par conséquent, les configurations à vérificateur unique ne sont plus acceptables. En effet, la vérification multi-attestateur, les exigences élevées de confirmation de blocs et la migration vers une infrastructure éprouvée comme le CCIP représentent le nouveau minimum viable en matière de posture de sécurité pour tout protocole inter-chaînes gérant une valeur significative. En fin de compte, DeFi United a tenu ses promesses, et l’industrie attend de voir ce qui sera construit ensuite.