Six semaines après le hack de KelpDAO, Aave a tout réparé sauf l’essentiel. Le collatéral volé a été reconstitué jusqu’au dernier jeton, les marchés tournent normalement, et le ratio d’emprunt est revenu à son niveau d’avant la crise. Mais le capital, lui, est parti et n’est pas revenu : la valeur déposée sur le protocole est passée d’environ 26 milliards de dollars la veille de l’attaque à 13,9 milliards au 1er juin, et elle stagne à ce plancher. C’est toute la leçon de cet épisode : en finance décentralisée, on réécrit le code d’un protocole en six semaines, on ne décrète pas le retour de la confiance.
L’instant de crise, nous l’avons documenté à chaud le 22 avril. Ce qui est neuf aujourd’hui, c’est le bilan à froid : la résolution technique, le post-mortem officiel, et ce constat contre-intuitif d’un protocole guéri dont les utilisateurs ne sont pas revenus.
Que s’est-il vraiment passé le 18 avril ?
Rappelons la mécanique, parce qu’elle conditionne tout le reste. D’après le post-mortem officiel publié par Aave, le 18 avril 2026 à 17h35 UTC, un pont (un bridge, c’est-à-dire un protocole qui relie deux blockchains) a accepté un message frauduleux. Ce pont reliait Unichain, un réseau de couche 2, à Ethereum, la couche de base, où un coffre verrouillait le vrai rsETH servant de garantie aux jetons en circulation ailleurs. Le principe est simple : pour rapatrier du rsETH vers Ethereum, on en détruit (un burn, une destruction définitive de jetons) la quantité équivalente côté Unichain, ce qui libère d’autant la garantie côté Ethereum. Le message frauduleux prétendait exactement cette destruction de 116 500 rsETH côté Unichain. Sauf qu’elle n’avait jamais eu lieu : selon l’analyse technique de Hypernative, Unichain n’en comptait alors qu’environ 49 en circulation, soit 2 300 fois moins, ce qui rendait l’opération mathématiquement impossible. Le vérifieur unique l’a pourtant validée, et 116 500 rsETH bien réels ont été libérés du coffre côté Ethereum, sans contrepartie détruite en face.
Le rsETH est un jeton d’ether restaké (du staking crypto empilé : on met son ether en gage pour sécuriser un premier réseau, puis on réutilise le jeton reçu pour en sécuriser un second, ce qui cumule les rendements mais aussi les risques). Émis par KelpDAO, ces 116 500 rsETH pesaient près de 18 % de son offre en circulation, soit environ 292 millions de dollars. Non pas détruits, au contraire : autant de jetons bien réels désormais en circulation, sans aucun actif pour les adosser.
Le point de défaillance tient en deux mots. Le pont reposait sur un vérifieur unique, ce que le secteur appelle un DVN configuré « un sur un » : une seule signature suffisait pour valider tous les messages entrants. En clair : un guichet unique chargé de dire « ce transfert est authentique », sans personne pour le contredire. L’attaquant n’a pas cassé ce guichet, il a corrompu sa vision du monde par une attaque dite de RPC-poisoning, en saturant l’infrastructure technique qui alimentait le vérifieur en données. Le guichet a alors certifié un retrait qui n’existait pas. La preuve chirurgicale du décalage est restée gravée dans la blockchain : côté Ethereum, le compteur de messages indiquait 308 quand la chaîne source en était encore à 307.
Suit la chaîne de valeur du hack, et c’est elle qui désigne le vrai perdant. L’attaquant disperse ces 116 500 jetons réels sur sept adresses, en dépose 89 567 comme garantie dans huit positions Aave réparties entre Ethereum, la couche de base, et Arbitrum, un réseau de couche 2, et emprunte contre elles 82 650 ether enveloppés et 821 stETH enveloppés, en maintenant ses positions juste au-dessus du seuil de liquidation. Autrement dit : KelpDAO n’a pas « perdu » ses jetons, l’attaquant les a fabriqués. La perte réelle s’est logée chez Aave, où de l’ether bien réel a été emprunté et retiré du système contre un collatéral qui ne valait rien.
Une précision de justice, ici, est indispensable. Aave n’a pas été piraté techniquement. Son code a fonctionné comme prévu : sur-collatéralisation, paramètres de risque, tout était nominal. Il faut distinguer trois responsabilités, et ne pas les confondre. La vulnérabilité d’origine est entièrement extérieure à Aave : c’est le pont tiers et son vérifieur unique. L’exposition d’Aave, en revanche, lui est propre : avoir accepté le rsETH comme garantie, c’est avoir créé une dépendance à une infrastructure qu’il ne contrôlait pas. Quant à la gestion de la crise elle-même, elle a été méthodique. Trois plans distincts, qu’on a vite fait de fondre en un seul reproche.
Aave a réparé le code et le collatéral
Sur le plan technique, la résolution est complète et rapide. Le protocole a d’abord gelé les marchés concernés et abaissé à zéro la capacité d’emprunt contre le rsETH, le temps de contenir la contagion. Puis une coalition baptisée DeFi United a reconstitué le collatéral manquant en cinq versements échelonnés du 13 au 26 mai : 25 000 jetons, puis 25 000, 20 000, 26 758, et un dernier de 20 374. Au total, 116 132 rsETH redéposés, exactement ce qui avait été volé. Le pont a été rechargé, les positions de l’attaquant liquidées et ses jetons détruits.
Le 14 mai, Aave rouvrait le rsETH ; le 16, les conditions d’emprunt sur l’ether ; le 18, sa grille de taux d’avant la crise. Fin mai, le post-mortem officiel pouvait écrire que les marchés fonctionnaient normalement, le ratio d’utilisation revenu à ses niveaux antérieurs. Aave a même publié un nouveau cadre d’évaluation des actifs, quintuplé les récompenses de son programme de détection de failles, et lancé une revue de chaque actif listé.
Si l’on s’arrête là, l’histoire est celle d’une démonstration de résilience. Un trou de 292 millions, comblé en six semaines par une mobilisation privée, sans un dollar d’argent public ni pertes socialisées. La finance traditionnelle, confrontée à un sinistre équivalent, n’aurait pas toujours bougé aussi vite : cette capacité de coordination est réelle.
Une coalition qui s’est sauvée elle-même
Reste à nommer correctement ce qui s’est joué. On a parlé de sauvetage « too big to fail », l’expression employée pour les banques en 2008. Elle force le trait. En 2008, c’est de l’argent public qui a colmaté les pertes, et la collectivité qui en a porté le coût. Ici, rien de tel : la recapitalisation a été entièrement privée.
La formule juste serait plutôt « too interconnected to fail » : trop imbriqué pour qu’on laisse tomber. Si la coalition s’est mobilisée, c’est parce que ses membres portaient eux-mêmes du rsETH ou y étaient exposés. Laisser Aave encaisser une mauvaise dette de cette taille, c’était risquer une réaction en chaîne sur tout l’écosystème. La composabilité, cette capacité des protocoles à s’emboîter les uns dans les autres comme des briques, est la grande promesse de la finance décentralisée. C’est aussi son canal de contagion : un protocole parfaitement sain peut être mis à genoux par un actif extérieur défaillant.
Le post-mortem nomme les sauveteurs un par un : Lido, EtherFi, Ethena, Mantle, Compound, Consensys et Joseph Lubin, KelpDAO, LayerZero, et plusieurs autres, réunis autour d’Aave Labs pour porter les engagements de plus de 160 millions à environ 300 millions de dollars. Une coalition d’initiés, nommée, identifiable, qui décide ensemble de remettre debout un protocole. C’est une prouesse de coordination. C’est aussi un aveu de centralisation de fait. Les deux lectures sont vraies en même temps.
Où la confiance « sans tiers de confiance » s’est-elle logée ?
C’est ici que le hack devient révélateur. La finance décentralisée se présente comme « sans tiers de confiance » : pas de banquier, pas de notaire, le code fait foi. Or si l’on suit la trajectoire complète de l’incident, on découvre que la confiance n’a pas disparu. Elle s’est seulement déplacée, et concentrée sur une poignée de points humains.
Suivons la chaîne. La sécurité de centaines de millions reposait d’abord sur un vérifieur unique. Sa vision a été corrompue par une attaque sur son infrastructure. Le gel des fonds dérobés a ensuite tenu à une décision de neuf signataires sur douze au conseil de sécurité d’Arbitrum. La recapitalisation a dépendu d’une coalition nominative d’acteurs majeurs. Et la destination finale des 71 millions de dollars gelés s’est jouée devant un tribunal fédéral, après qu’un créancier d’une affaire sans rapport a tenté de les saisir.
Cinq maillons, et à chacun, un individu ou un petit groupe décide. La promesse « sans tiers de confiance » ne supprime donc pas la confiance : elle la déplace et la masque, jusqu’au jour où l’un de ces points devient critique. Le dernier maillon est le plus parlant : des fonds réputés « sur la blockchain », gelés par un conseil restreint, dont le sort est ensuite tranché par une cour fédérale. On est loin de l’automatisme du code souverain. À chaque nœud critique, la décentralisation plie et laisse place à un arbitrage humain.
Pourquoi la confiance n’est-elle pas revenue ?
Venons-en au cœur du paradoxe, et à une distinction qu’il faut poser proprement pour ne pas se tromper. Le post-mortem d’Aave dit vrai : l’utilisation est revenue à la normale. La presse dit vrai aussi : la valeur déposée a fondu de moitié et n’est pas remontée. Ces deux affirmations ne se contredisent pas, parce qu’elles ne mesurent pas la même chose.
L’utilisation est un ratio : la part des dépôts qui est effectivement prêtée. La valeur déposée (la TVL, pour Total Value Locked) est un montant absolu : le capital total immobilisé dans le protocole. On peut très bien retrouver un ratio d’utilisation normal sur une base de capital qui a fui de moitié. C’est exactement la situation d’Aave : le moteur tourne au régime habituel, mais le réservoir est à moitié vide. Réparer le code restaure le ratio. Cela ne ramène pas le capital.
Et le capital n’est pas revenu, ce que confirment plusieurs signaux convergents, pas un seul chiffre. La valeur totale déposée sur Aave plafonne autour de 14 milliards de dollars un mois et demi après la résolution, contre 26 avant l’attaque, selon DefiLlama. Une précision de périmètre s’impose : cette baisse, exprimée en dollars, mêle sans doute plusieurs causes, un retrait de confiance, mais aussi la chute de prix de certains collatéraux et un désendettement après la crise. Reste que les dépôts demeurent prudents, les emprunts et le nombre d’utilisateurs n’ont pas retrouvé leurs niveaux, et la presse résume la situation d’un mot : Aave saigne encore.
Voilà le diagnostic le plus net qu’on puisse poser. Le bilan comptable d’Aave est solvable : le collatéral est là, les marchés fonctionnent. Mais la solvabilité retrouvée ne fait pas revenir la confiance perdue. La première se restaure par décision technique et par une signature au bas d’un versement. La seconde se reconstruit lentement, par la preuve répétée que rien ne casse, et ce temps-là ne se commande pas.
Un mot, enfin, sur l’attaquant, sans en faire le sujet. LayerZero, dans ses premières conclusions, décrit un acteur étatique sophistiqué, vraisemblablement le groupe nord-coréen Lazarus. Une cyberattaque qui finance un régime par le vol en finance décentralisée : la dimension est réelle, mais elle relève d’une autre discussion.
Ce que cet épisode dit à qui détient des cryptoactifs
Si vous prêtez ou empruntez en finance décentralisée, la leçon est concrète et tient en une question préalable : de quoi dépend, vraiment, le protocole que vous utilisez ? Pour qui veut comprendre les mécanismes des cryptoactifs avant de s’y exposer, c’est la première grille de lecture à acquérir. Un actif listé comme garantie n’engage pas que ses propres mérites, il engage toute l’infrastructure dont il dépend. Chaque pont traversé, chaque jeton dérivé d’un autre, chaque vérifieur en amont est une couche de risque supplémentaire, souvent invisible jusqu’à ce qu’elle cède. Aave a payé pour une dépendance qu’il ne contrôlait pas ; l’utilisateur hérite de la même chaîne dès qu’il dépose.
L’investisseur particulier qui découvre ce dossier aujourd’hui n’est pas en retard d’information sur les acteurs déjà positionnés, et il n’en a pas besoin pour décider. Lire ce qui est public, le post-mortem officiel, les données de dépôt en temps réel, la cartographie des dépendances d’un protocole, suffit à se forger un jugement. Courir après l’information privée n’est pas un programme ; comprendre ce dont dépend un actif en est un.
Reste que comprendre un dossier ne fait pas une stratégie. Ce qui distingue dans la durée un investisseur qui traverse les cycles d’un investisseur qui s’épuise, ce n’est pas la finesse d’une analyse ponctuelle. C’est la discipline qui maintient le cap quand un actif déraille, la rigueur de la gestion du capital qui empêche une conviction de tourner à la surexposition, et le cadre de décision qui permet de répéter ce qui fonctionne plutôt que de réagir à chaque incident. Construire ce cadre de décision dans le monde financier, structurer sa réflexion stratégique sur les moyens d’agir, développer sa propre capacité à décider : c’est ce que mon accompagnement rend accessible à celles et ceux qui veulent reprendre la main. Pour qui souhaite se renseigner, c’est par ici.
La finance décentralisée a passé un test grandeur nature, et elle en sort avec un résultat à double face, qu’il serait réducteur de ramener à l’un de ses deux versants. Elle a prouvé qu’elle savait se recapitaliser seule, vite, sans filet public, là où d’autres systèmes auraient hésité. Et elle a montré, dans le même mouvement, que sa promesse d’absence de tiers de confiance était une élégante simplification : la confiance n’avait pas disparu, elle s’était cachée dans les plis du système. Le code se répare. La confiance se mérite. Entre les deux, il y a tout ce que cet épisode aura appris à ceux qui voudront bien le lire.
Laurent Blasco
Comprendre. Trancher. Opérer.
FAQ
Aave a-t-il été piraté lors du hack de KelpDAO ?
Non. Aave n’a pas été compromis techniquement : son code a fonctionné normalement. La faille était entièrement extérieure, dans un pont tiers reliant deux blockchains et reposant sur un vérifieur unique. Aave a été touché parce qu’il avait accepté le jeton rsETH comme garantie, ce qui l’a rendu dépendant d’une infrastructure qu’il ne contrôlait pas. L’attaquant a déposé le collatéral volé sur Aave pour y emprunter de l’ether bien réel.
Le collatéral volé a-t-il été récupéré ?
Oui, intégralement. Une coalition d’acteurs de la finance décentralisée, réunie sous le nom de DeFi United, a reconstitué le collatéral manquant en cinq versements échelonnés du 13 au 26 mai 2026, pour un total de 116 132 rsETH, soit exactement le montant dérobé. Les positions de l’attaquant ont été liquidées et ses jetons détruits. Fin mai, les marchés d’Aave fonctionnaient normalement.
Pourquoi la valeur déposée sur Aave n’est-elle pas remontée ?
Parce que réparer le collatéral n’est pas la même chose que ramener le capital. Le ratio d’utilisation du protocole est revenu à la normale, mais la valeur totale déposée plafonne autour de 14 milliards de dollars, contre 26 avant l’attaque. L’utilisation est un ratio, la valeur déposée est un montant absolu : on peut retrouver un ratio normal sur une base de capital qui a fui de moitié. La confiance se reconstruit plus lentement que le code.
Qu’est-ce que la confiance « déplacée » en finance décentralisée ?
La finance décentralisée se présente comme « sans tiers de confiance ». L’incident montre que la confiance n’a pas disparu, elle s’est concentrée sur cinq points humains : un vérifieur unique, son infrastructure, neuf signataires gelant les fonds, une coalition nominative recapitalisant le protocole, et un tribunal tranchant le sort des sommes gelées. La promesse « sans tiers de confiance » ne supprime pas la confiance, elle la déplace et la masque jusqu’au jour où l’un de ces points devient critique.
Le sauvetage d’Aave était-il un « too big to fail » comme en 2008 ?
Non, et la nuance est importante. En 2008, le sauvetage des banques reposait sur de l’argent public et une socialisation des pertes. Ici, la recapitalisation a été entièrement privée, financée par les acteurs du secteur. La formule juste est « too interconnected to fail » : la coalition s’est sauvée elle-même parce que ses membres portaient tous du rsETH et craignaient une contagion. Prouesse de coordination et aveu de centralisation de fait à la fois.
Six semaines après le hack de KelpDAO, Aave a tout réparé sauf l’essentiel. Le collatéral volé a été reconstitué jusqu’au dernier jeton, les marchés tournent normalement, et le ratio d’emprunt est revenu à son niveau d’avant la crise. Mais le capital, lui, est parti et n’est pas revenu : la valeur déposée sur le protocole est passée d’environ 26 milliards de dollars la veille de l’attaque à 13,9 milliards au 1er juin, et elle stagne à ce plancher. C’est toute la leçon de cet épisode : en finance décentralisée, on réécrit le code d’un protocole en six semaines, on ne décrète pas le retour de la confiance.
L’instant de crise, nous l’avons documenté à chaud le 22 avril. Ce qui est neuf aujourd’hui, c’est le bilan à froid : la résolution technique, le post-mortem officiel, et ce constat contre-intuitif d’un protocole guéri dont les utilisateurs ne sont pas revenus.
Que s’est-il vraiment passé le 18 avril ?
Rappelons la mécanique, parce qu’elle conditionne tout le reste. D’après le post-mortem officiel publié par Aave, le 18 avril 2026 à 17h35 UTC, un pont (un bridge, c’est-à-dire un protocole qui relie deux blockchains) a accepté un message frauduleux. Ce pont reliait Unichain, un réseau de couche 2, à Ethereum, la couche de base, où un coffre verrouillait le vrai rsETH servant de garantie aux jetons en circulation ailleurs. Le principe est simple : pour rapatrier du rsETH vers Ethereum, on en détruit (un burn, une destruction définitive de jetons) la quantité équivalente côté Unichain, ce qui libère d’autant la garantie côté Ethereum. Le message frauduleux prétendait exactement cette destruction de 116 500 rsETH côté Unichain. Sauf qu’elle n’avait jamais eu lieu : selon l’analyse technique de Hypernative, Unichain n’en comptait alors qu’environ 49 en circulation, soit 2 300 fois moins, ce qui rendait l’opération mathématiquement impossible. Le vérifieur unique l’a pourtant validée, et 116 500 rsETH bien réels ont été libérés du coffre côté Ethereum, sans contrepartie détruite en face.
Le rsETH est un jeton d’ether restaké (du staking crypto empilé : on met son ether en gage pour sécuriser un premier réseau, puis on réutilise le jeton reçu pour en sécuriser un second, ce qui cumule les rendements mais aussi les risques). Émis par KelpDAO, ces 116 500 rsETH pesaient près de 18 % de son offre en circulation, soit environ 292 millions de dollars. Non pas détruits, au contraire : autant de jetons bien réels désormais en circulation, sans aucun actif pour les adosser.
Le point de défaillance tient en deux mots. Le pont reposait sur un vérifieur unique, ce que le secteur appelle un DVN configuré « un sur un » : une seule signature suffisait pour valider tous les messages entrants. En clair : un guichet unique chargé de dire « ce transfert est authentique », sans personne pour le contredire. L’attaquant n’a pas cassé ce guichet, il a corrompu sa vision du monde par une attaque dite de RPC-poisoning, en saturant l’infrastructure technique qui alimentait le vérifieur en données. Le guichet a alors certifié un retrait qui n’existait pas. La preuve chirurgicale du décalage est restée gravée dans la blockchain : côté Ethereum, le compteur de messages indiquait 308 quand la chaîne source en était encore à 307.
Suit la chaîne de valeur du hack, et c’est elle qui désigne le vrai perdant. L’attaquant disperse ces 116 500 jetons réels sur sept adresses, en dépose 89 567 comme garantie dans huit positions Aave réparties entre Ethereum, la couche de base, et Arbitrum, un réseau de couche 2, et emprunte contre elles 82 650 ether enveloppés et 821 stETH enveloppés, en maintenant ses positions juste au-dessus du seuil de liquidation. Autrement dit : KelpDAO n’a pas « perdu » ses jetons, l’attaquant les a fabriqués. La perte réelle s’est logée chez Aave, où de l’ether bien réel a été emprunté et retiré du système contre un collatéral qui ne valait rien.
Une précision de justice, ici, est indispensable. Aave n’a pas été piraté techniquement. Son code a fonctionné comme prévu : sur-collatéralisation, paramètres de risque, tout était nominal. Il faut distinguer trois responsabilités, et ne pas les confondre. La vulnérabilité d’origine est entièrement extérieure à Aave : c’est le pont tiers et son vérifieur unique. L’exposition d’Aave, en revanche, lui est propre : avoir accepté le rsETH comme garantie, c’est avoir créé une dépendance à une infrastructure qu’il ne contrôlait pas. Quant à la gestion de la crise elle-même, elle a été méthodique. Trois plans distincts, qu’on a vite fait de fondre en un seul reproche.
Aave a réparé le code et le collatéral
Sur le plan technique, la résolution est complète et rapide. Le protocole a d’abord gelé les marchés concernés et abaissé à zéro la capacité d’emprunt contre le rsETH, le temps de contenir la contagion. Puis une coalition baptisée DeFi United a reconstitué le collatéral manquant en cinq versements échelonnés du 13 au 26 mai : 25 000 jetons, puis 25 000, 20 000, 26 758, et un dernier de 20 374. Au total, 116 132 rsETH redéposés, exactement ce qui avait été volé. Le pont a été rechargé, les positions de l’attaquant liquidées et ses jetons détruits.
Le 14 mai, Aave rouvrait le rsETH ; le 16, les conditions d’emprunt sur l’ether ; le 18, sa grille de taux d’avant la crise. Fin mai, le post-mortem officiel pouvait écrire que les marchés fonctionnaient normalement, le ratio d’utilisation revenu à ses niveaux antérieurs. Aave a même publié un nouveau cadre d’évaluation des actifs, quintuplé les récompenses de son programme de détection de failles, et lancé une revue de chaque actif listé.
Si l’on s’arrête là, l’histoire est celle d’une démonstration de résilience. Un trou de 292 millions, comblé en six semaines par une mobilisation privée, sans un dollar d’argent public ni pertes socialisées. La finance traditionnelle, confrontée à un sinistre équivalent, n’aurait pas toujours bougé aussi vite : cette capacité de coordination est réelle.
Une coalition qui s’est sauvée elle-même
Reste à nommer correctement ce qui s’est joué. On a parlé de sauvetage « too big to fail », l’expression employée pour les banques en 2008. Elle force le trait. En 2008, c’est de l’argent public qui a colmaté les pertes, et la collectivité qui en a porté le coût. Ici, rien de tel : la recapitalisation a été entièrement privée.
La formule juste serait plutôt « too interconnected to fail » : trop imbriqué pour qu’on laisse tomber. Si la coalition s’est mobilisée, c’est parce que ses membres portaient eux-mêmes du rsETH ou y étaient exposés. Laisser Aave encaisser une mauvaise dette de cette taille, c’était risquer une réaction en chaîne sur tout l’écosystème. La composabilité, cette capacité des protocoles à s’emboîter les uns dans les autres comme des briques, est la grande promesse de la finance décentralisée. C’est aussi son canal de contagion : un protocole parfaitement sain peut être mis à genoux par un actif extérieur défaillant.
Le post-mortem nomme les sauveteurs un par un : Lido, EtherFi, Ethena, Mantle, Compound, Consensys et Joseph Lubin, KelpDAO, LayerZero, et plusieurs autres, réunis autour d’Aave Labs pour porter les engagements de plus de 160 millions à environ 300 millions de dollars. Une coalition d’initiés, nommée, identifiable, qui décide ensemble de remettre debout un protocole. C’est une prouesse de coordination. C’est aussi un aveu de centralisation de fait. Les deux lectures sont vraies en même temps.
Où la confiance « sans tiers de confiance » s’est-elle logée ?
C’est ici que le hack devient révélateur. La finance décentralisée se présente comme « sans tiers de confiance » : pas de banquier, pas de notaire, le code fait foi. Or si l’on suit la trajectoire complète de l’incident, on découvre que la confiance n’a pas disparu. Elle s’est seulement déplacée, et concentrée sur une poignée de points humains.
Suivons la chaîne. La sécurité de centaines de millions reposait d’abord sur un vérifieur unique. Sa vision a été corrompue par une attaque sur son infrastructure. Le gel des fonds dérobés a ensuite tenu à une décision de neuf signataires sur douze au conseil de sécurité d’Arbitrum. La recapitalisation a dépendu d’une coalition nominative d’acteurs majeurs. Et la destination finale des 71 millions de dollars gelés s’est jouée devant un tribunal fédéral, après qu’un créancier d’une affaire sans rapport a tenté de les saisir.
Cinq maillons, et à chacun, un individu ou un petit groupe décide. La promesse « sans tiers de confiance » ne supprime donc pas la confiance : elle la déplace et la masque, jusqu’au jour où l’un de ces points devient critique. Le dernier maillon est le plus parlant : des fonds réputés « sur la blockchain », gelés par un conseil restreint, dont le sort est ensuite tranché par une cour fédérale. On est loin de l’automatisme du code souverain. À chaque nœud critique, la décentralisation plie et laisse place à un arbitrage humain.
Pourquoi la confiance n’est-elle pas revenue ?
Venons-en au cœur du paradoxe, et à une distinction qu’il faut poser proprement pour ne pas se tromper. Le post-mortem d’Aave dit vrai : l’utilisation est revenue à la normale. La presse dit vrai aussi : la valeur déposée a fondu de moitié et n’est pas remontée. Ces deux affirmations ne se contredisent pas, parce qu’elles ne mesurent pas la même chose.
L’utilisation est un ratio : la part des dépôts qui est effectivement prêtée. La valeur déposée (la TVL, pour Total Value Locked) est un montant absolu : le capital total immobilisé dans le protocole. On peut très bien retrouver un ratio d’utilisation normal sur une base de capital qui a fui de moitié. C’est exactement la situation d’Aave : le moteur tourne au régime habituel, mais le réservoir est à moitié vide. Réparer le code restaure le ratio. Cela ne ramène pas le capital.
Et le capital n’est pas revenu, ce que confirment plusieurs signaux convergents, pas un seul chiffre. La valeur totale déposée sur Aave plafonne autour de 14 milliards de dollars un mois et demi après la résolution, contre 26 avant l’attaque, selon DefiLlama. Une précision de périmètre s’impose : cette baisse, exprimée en dollars, mêle sans doute plusieurs causes, un retrait de confiance, mais aussi la chute de prix de certains collatéraux et un désendettement après la crise. Reste que les dépôts demeurent prudents, les emprunts et le nombre d’utilisateurs n’ont pas retrouvé leurs niveaux, et la presse résume la situation d’un mot : Aave saigne encore.
Voilà le diagnostic le plus net qu’on puisse poser. Le bilan comptable d’Aave est solvable : le collatéral est là, les marchés fonctionnent. Mais la solvabilité retrouvée ne fait pas revenir la confiance perdue. La première se restaure par décision technique et par une signature au bas d’un versement. La seconde se reconstruit lentement, par la preuve répétée que rien ne casse, et ce temps-là ne se commande pas.
Un mot, enfin, sur l’attaquant, sans en faire le sujet. LayerZero, dans ses premières conclusions, décrit un acteur étatique sophistiqué, vraisemblablement le groupe nord-coréen Lazarus. Une cyberattaque qui finance un régime par le vol en finance décentralisée : la dimension est réelle, mais elle relève d’une autre discussion.
Ce que cet épisode dit à qui détient des cryptoactifs
Si vous prêtez ou empruntez en finance décentralisée, la leçon est concrète et tient en une question préalable : de quoi dépend, vraiment, le protocole que vous utilisez ? Pour qui veut comprendre les mécanismes des cryptoactifs avant de s’y exposer, c’est la première grille de lecture à acquérir. Un actif listé comme garantie n’engage pas que ses propres mérites, il engage toute l’infrastructure dont il dépend. Chaque pont traversé, chaque jeton dérivé d’un autre, chaque vérifieur en amont est une couche de risque supplémentaire, souvent invisible jusqu’à ce qu’elle cède. Aave a payé pour une dépendance qu’il ne contrôlait pas ; l’utilisateur hérite de la même chaîne dès qu’il dépose.
L’investisseur particulier qui découvre ce dossier aujourd’hui n’est pas en retard d’information sur les acteurs déjà positionnés, et il n’en a pas besoin pour décider. Lire ce qui est public, le post-mortem officiel, les données de dépôt en temps réel, la cartographie des dépendances d’un protocole, suffit à se forger un jugement. Courir après l’information privée n’est pas un programme ; comprendre ce dont dépend un actif en est un.
Reste que comprendre un dossier ne fait pas une stratégie. Ce qui distingue dans la durée un investisseur qui traverse les cycles d’un investisseur qui s’épuise, ce n’est pas la finesse d’une analyse ponctuelle. C’est la discipline qui maintient le cap quand un actif déraille, la rigueur de la gestion du capital qui empêche une conviction de tourner à la surexposition, et le cadre de décision qui permet de répéter ce qui fonctionne plutôt que de réagir à chaque incident. Construire ce cadre de décision dans le monde financier, structurer sa réflexion stratégique sur les moyens d’agir, développer sa propre capacité à décider : c’est ce que mon accompagnement rend accessible à celles et ceux qui veulent reprendre la main. Pour qui souhaite se renseigner, c’est par ici.
La finance décentralisée a passé un test grandeur nature, et elle en sort avec un résultat à double face, qu’il serait réducteur de ramener à l’un de ses deux versants. Elle a prouvé qu’elle savait se recapitaliser seule, vite, sans filet public, là où d’autres systèmes auraient hésité. Et elle a montré, dans le même mouvement, que sa promesse d’absence de tiers de confiance était une élégante simplification : la confiance n’avait pas disparu, elle s’était cachée dans les plis du système. Le code se répare. La confiance se mérite. Entre les deux, il y a tout ce que cet épisode aura appris à ceux qui voudront bien le lire.
Laurent Blasco
Comprendre. Trancher. Opérer.
FAQ
Aave a-t-il été piraté lors du hack de KelpDAO ?
Non. Aave n’a pas été compromis techniquement : son code a fonctionné normalement. La faille était entièrement extérieure, dans un pont tiers reliant deux blockchains et reposant sur un vérifieur unique. Aave a été touché parce qu’il avait accepté le jeton rsETH comme garantie, ce qui l’a rendu dépendant d’une infrastructure qu’il ne contrôlait pas. L’attaquant a déposé le collatéral volé sur Aave pour y emprunter de l’ether bien réel.
Le collatéral volé a-t-il été récupéré ?
Oui, intégralement. Une coalition d’acteurs de la finance décentralisée, réunie sous le nom de DeFi United, a reconstitué le collatéral manquant en cinq versements échelonnés du 13 au 26 mai 2026, pour un total de 116 132 rsETH, soit exactement le montant dérobé. Les positions de l’attaquant ont été liquidées et ses jetons détruits. Fin mai, les marchés d’Aave fonctionnaient normalement.
Pourquoi la valeur déposée sur Aave n’est-elle pas remontée ?
Parce que réparer le collatéral n’est pas la même chose que ramener le capital. Le ratio d’utilisation du protocole est revenu à la normale, mais la valeur totale déposée plafonne autour de 14 milliards de dollars, contre 26 avant l’attaque. L’utilisation est un ratio, la valeur déposée est un montant absolu : on peut retrouver un ratio normal sur une base de capital qui a fui de moitié. La confiance se reconstruit plus lentement que le code.
Qu’est-ce que la confiance « déplacée » en finance décentralisée ?
La finance décentralisée se présente comme « sans tiers de confiance ». L’incident montre que la confiance n’a pas disparu, elle s’est concentrée sur cinq points humains : un vérifieur unique, son infrastructure, neuf signataires gelant les fonds, une coalition nominative recapitalisant le protocole, et un tribunal tranchant le sort des sommes gelées. La promesse « sans tiers de confiance » ne supprime pas la confiance, elle la déplace et la masque jusqu’au jour où l’un de ces points devient critique.
Le sauvetage d’Aave était-il un « too big to fail » comme en 2008 ?
Non, et la nuance est importante. En 2008, le sauvetage des banques reposait sur de l’argent public et une socialisation des pertes. Ici, la recapitalisation a été entièrement privée, financée par les acteurs du secteur. La formule juste est « too interconnected to fail » : la coalition s’est sauvée elle-même parce que ses membres portaient tous du rsETH et craignaient une contagion. Prouesse de coordination et aveu de centralisation de fait à la fois.
