#KelpDAO跨链桥遭攻击 Kelp DAO 290 millions de dollars en grande purge : la spirale mortelle du prêt non isolé et la chapelle ardente des DeFi

À l’aube d’avril 2026, la durée d’un bloc sur la blockchain reste immuable à une dizaine de secondes, mais en quelques blocs seulement, 290 millions de dollars en argent réel ont disparu comme des étoiles tombant dans un trou noir, sans même un bruit sourd. Ce n’est pas un transfert stratégique d’un fonds souverain national, mais le vol le plus absurde et le plus froid de l’histoire des DeFi — l’Exploit rsETH de Kelp DAO.
Alors que tout le monde s’émerveille de la maîtrise du code du hacker, les vétérans de la quantification de Wall Street et les joueurs hardcore du crypto-punk ressentent seulement un frisson glacial. Car ce n’est pas une simple escroquerie technique, mais une attaque en réduction de la logique fondamentale de la DeFi. Le hacker n’a pas forcé un coffre-fort, il a simplement prouvé qu’un papier sans valeur dans un système de prêt non isolé pouvait valoir une fortune, puis a légitimement vidé tout le coffre-fort.

Le dernier tableau de poupée russe, une image du réseau principal en souvenir

Pour comprendre cette tragédie de 290 millions de dollars, il faut d’abord saisir la plus contre-intuitive et enivrante des alchimies Ponzi dans le monde Web3 : le jeton de ré-immobilisation de liquidités (LRT).
Dans le monde financier traditionnel, une garantie, c’est une garantie : vous utilisez une maison pour obtenir un prêt bancaire, et la propriété est alors verrouillée. Mais dans la salle de jeu hyper-hormonée qu’est la DeFi, l’efficacité du capital doit être poussée à l’extrême. Vous détenez une Ethereum. Vous la déposez chez Lido, échangeant contre du stETH, profitant des rendements de staking de base. Ce n’est pas suffisant, vous déposez aussi votre stETH dans EigenLayer, un protocole de ré-immobilisation, pour tenter de gagner des frais de validation sur d’autres réseaux. À ce stade, la liquidité aurait dû s’épuiser, mais Kelp DAO surgit et vous dit : « Frère, donne-moi ton certificat, je vais te donner un autre certificat, appelé rsETH. » C’est le jeton de ré-immobilisation de liquidités. Avec ce rsETH, vous pouvez non seulement profiter de triple rendement, mais aussi l’utiliser dans un protocole de prêt comme actif de qualité, puis emprunter un Ethereum supplémentaire. En marchant sur deux jambes, vous êtes déjà dans les cieux, voire en train de bâtir une villa dans la stratosphère.
Mais la physique financière est glaciale : chaque dérivation d’actifs amplifie exponentiellement le risque systémique sous-jacent (Risque de contagion DeFi). Vous pensez que votre rsETH est un ticket en or, mais en réalité, c’est une bombe à retardement avec cinq couches de contrats imbriqués. Si une seule ligne de code dans l’Ethereum principal, Lido, EigenLayer ou Kelp DAO présente une faille logique, tout cet édifice financier s’effondrera instantanément. Et cette fois, Kelp DAO en est la base dérobée.
Le hacker exploite une faille logique dans le contrat intelligent, combinée à une attaque de flash loan ultra-discrète et à une manipulation d’oracle, pour créer en un éclair une masse énorme de « rsETH air » sans aucune valeur sous-jacente. Si l’histoire s’arrêtait là, ce ne serait qu’un problème interne à Kelp DAO, une monnaie fictive qui se vautre, et seuls les aventuriers avides de rendement élevé paieraient le prix. Mais ce qui transforme cette mine en bombe nucléaire, c’est le modèle de prêt « non isolé » considéré comme la norme dans le monde DeFi.

Prêt non isolé : mettre le carnet d’épargne de tout le village dans un tiroir non verrouillé

Le hacker détient maintenant une pile de rsETH fraîchement imprimés, sans coût. Il n’est pas idiot au point de liquider ces jetons sur une plateforme décentralisée (DEX), car la faible liquidité ne pourrait supporter la pression de 290 millions de dollars, et le slippage mangerait presque tout son profit. Avec une élégance extrême, il tourne les talons et entre dans la grande porte d’Aave, le géant du prêt DeFi. C’est là que réside la faiblesse fatale du modèle de prêt non isolé.
Pour maximiser « l’utilisation des fonds », les grands protocoles de prêt aiment mettre tout l’argent dans un seul grand bassin. Dans ce creuset, peu importe si vous déposez un USDC solide comme le roc ou une altcoin susceptible d’exploser, tant que le détenteur du jeton de gouvernance vote en faveur, ils peuvent servir de garantie pour emprunter n’importe quel actif réel dans le pool.
Le hacker dépose sans vergogne une montagne de rsETH air dans Aave. À ce moment-là, dans l’œil de l’oracle d’Aave, comme le prix sur le DEX n’a pas encore implosé, ces rsETH brillent encore d’un éclat noble, leur valeur est infinie. Le contrat intelligent, ce borgne sans émotion, ouvre mécaniquement le coffre-fort du village selon le taux de collatéral, et le hacker emprunte à tour de bras USDC, USDT, WBTC et ETH réel.
Dans ce processus, personne ne s’oppose, toutes les opérations suivent la logique du code, et même au moment de la transaction groupée, le système calcule les intérêts pour le hacker. Quand le hacker transfère ses vrais actifs en cross-chain et s’enfuit, il laisse derrière lui un trou noir sans fond dans Aave et tout l’écosystème DeFi. C’est cela, le redoutable « dette mauvaise » d’Aave.
Les petits investisseurs qui avaient simplement déposé des USDC pour gagner 4 % d’intérêt annuel se retrouvent soudain incapables de retirer leur argent. Le pool est vidé, il ne reste dans le coffre qu’une pile de rsETH dont la valeur tend vers zéro. Le modèle de prêt non isolé est comme une grosse chaîne de fer, reliant des navires qui devraient lutter séparément, mais dès qu’un prend feu, toute la flotte n’a plus aucune chance de s’échapper.

La danse de la spirale mortelle et la machine à broyer la liquidité sans pitié
Une fois la mauvaise dette créée, la spirale mortelle de la DeFi ne devient pas un simple terme économique, mais une expérience sociologique brutale. Quand le marché réalise que le rsETH a subi un coup dévastateur, son prix chute en chute libre vers le centre de la Terre. La mécanique de liquidation d’Aave se met en marche, tentant de liquider les garanties laissées par le hacker pour combler le déficit. Mais c’est une impasse ridicule. Les liquidateurs ne font pas de charité, ils doivent acheter ces rsETH dévalués avec de l’argent réel, puis les revendre sur le marché pour faire du profit.
Mais lorsque la vérité sur l’absence de valeur réelle derrière le rsETH est révélée, il ne reste plus un seul idiot prêt à offrir un cent pour le racheter. Sans liquidité, la liquidation ne peut pas s’effectuer ; sans liquidation, la mauvaise dette reste éternellement inscrite ; et cette dette insolvable provoque une panique qui se propage comme une peste. La peur entraîne une ruée vers la sortie. Tous les utilisateurs ayant encore des actifs dans Aave appuient frénétiquement sur le bouton de retrait. Le taux d’utilisation du pool grimpe instantanément à 100 %, et les taux d’intérêt de prêt sont automatiquement poussés à des chiffres absurdes pour attirer de nouveaux dépôts. Mais cela ne fait qu’aggraver la situation — car les utilisateurs innocents, utilisant d’autres actifs sains comme garantie, découvrent soudain que leurs intérêts de prêt deviennent astronomiques, que leur taux de collatéral se dégrade instantanément, et qu’ils finissent en liquidation. C’est l’illustration ultime du risque de contagion DeFi. La faille de Kelp DAO n’a pas seulement tué son propre système, elle a aussi injecté le venin dans le cœur de toute la DeFi via la circulation du prêt non isolé. Ceux qui ne savent pas ce qu’est LRT ou la ré-immobilisation ont simplement payé le prix, parce qu’ils ont mis leur argent dans le même pool que des actifs à haut risque.

Votre rendement élevé, c’est la prime de fin d’année anticipée pour les hackers

Sur les ruines de ces 290 millions de dollars, il faut non seulement examiner la fragilité du code, mais aussi percer le faux-semblant de la narration DeFi. Tout le secteur clame chaque jour la décentralisation, la transparence, la légalité du code, mais dans l’arène de la vraie finance, tout n’est qu’une course à l’extraction de quelques points de rendement annuel, au prix de la démission de toute éthique. Le modèle de prêt non isolé est essentiellement une mécanique de privatisation des gains et de socialisation des risques. Pour attirer des fonds, les projets proposent sans cesse des propositions de gouvernance, insérant dans la liste blanche des actifs synthétiques et étranges.
Ils vantent la profondeur des pools et l’efficacité du capital, tout en évitant de parler du gouffre de crédit entre différents actifs. En marché haussier, tout le monde s’amuse, vous gagnez des intérêts, je gagne du TVL ; mais en crise, ces relations imbriquées se retournent contre vous, transformant toutes les richesses en papier déchiré. L’incident rsETH de Kelp DAO ne sera sûrement pas le dernier.
Tant que la DeFi persiste à utiliser ses actifs pour générer de nouveaux actifs par ré-immobilisation, et que les protocoles de prêt ne renoncent pas à la magie des pools non isolés, cette crise systémique ressemblera à une grippe saisonnière, qui revient périodiquement pour aspirer la liquidité du marché.
Sur Wall Street, quand on pousse le levier à l’extrême et qu’on déclenche une crise systémique, on peut espérer une intervention de la Fed ou un filet de sécurité pour les contribuables. Mais dans la forêt obscure du Web3, il n’y a ni banque centrale, ni circuit de défaillance, ni compassion. Le hacker, avec ses 290 millions de dollars, a donné à tous les fanatiques de la DeFi une leçon de gestion des risques financiers la plus coûteuse : quand vous ne comprenez pas d’où vient un rendement annuel de 20 %, ne doutez pas, ce rendement, c’est votre capital, et vous êtes la proie enfermée dans la boucle de code la plus profonde.