L’essentiel : entre le 19 et le 28 avril 2026, Aave, le plus gros protocole de lending DeFi (>15 Md$ TVL), subit l’effet de contagion du hack Kelp DAO du 19 avril (cf. notre article dédié). L’attaquant, ayant minté 116 500 rsETH non-backés, les déploie sur Aave et Compound pour les swap contre de l’ETH réel. Le résultat : Aave fait face à un bad debt potentiel de 124 à 230 M$ selon comment Kelp DAO répartit la perte (15 % depeg sur tous les rsETH = 124 M$, ou confinement aux L2s = 230 M$). Crise de liquidité immédiate : les whales retirent plus de 6 Md$ d’Aave en 24h, poussant les pools ETH, USDT et USDC à 100 % d’utilisation. Les déposants pris au piège empruntent 300 M$ contre leur propre stablecoin locké pour sortir leurs fonds. Aave réagit avec liquidations automatiques des positions attaquant et négociations avec Kelp DAO. Au 7 mai, Aave a complété la liquidation des dernières positions rsETH-backed du hacker sur Ethereum et Arbitrum. DeFi United (analytics Galaxy Digital) estime qu’il manque environ 10 % de l’ETH nécessaire pour restaurer le backing complet rsETH.
La contagion : du hack Kelp à Aave en 24 heures
Pour comprendre la séquence, il faut séparer deux événements liés mais distincts.
Événement 1 : le hack Kelp DAO du 19 avril (cf. notre article dédié). L’attaquant draine 116 500 rsETH du bridge LayerZero. À ce stade, les rsETH drainés sont dans les wallets de l’attaquant, mais ne sont pas encore dans Aave.
Événement 2 : le déploiement Aave 19-28 avril. L’attaquant utilise les rsETH frauduleux comme collatéral sur Aave V3 et V4 pour emprunter de l’ETH réel. Selon The Defiant, c’est une opération de blanchiment astucieuse : transformer rsETH (token compromis, repérable on-chain) en ETH (token fongible, intraçable une fois mixé).
L’effet domino. Quand le marché s’aperçoit que l’attaquant utilise Aave pour blanchir, deux choses se passent simultanément. Un, les utilisateurs Aave qui ont déposé du rsETH comme collatéral commencent à retirer leurs fonds par peur (la valeur rsETH ayant chuté). Deux, les liquidateurs automatiques d’Aave commencent à liquider les positions rsETH sous-collatéralisées, ce qui augmente la pression vendeuse sur le marché rsETH.
Le mécanisme de contagion DeFi en marche : un hack initial (Kelp) propage à travers les protocoles connectés (Aave, Compound, Morpho, Spark) en quelques heures.
La crise de liquidité : 6 Md$ retirés, pools 100 % util
L’effet le plus spectaculaire du hack est la crise de liquidité Aave dans les 24-48 heures qui suivent. Selon CoinDesk, les whales (gros déposants institutionnels) retirent plus de 6 milliards de dollars d’Aave en 24 heures.
La séquence :
Heure 0-6 : annonce du hack Kelp, premiers retraits par les déposants les plus alertes.
Heure 6-12 : panic spreading sur Twitter/X et Discord, accélération des retraits.
Heure 12-24 : whales institutionnels retirent en bloc, plusieurs centaines de millions par transaction. Les pools Aave ETH, USDT et USDC atteignent 100 % d’utilisation.
100 % d’utilisation signifie que tout le capital déposé est emprunté. C’est un état critique :
- Les déposants ne peuvent plus retirer leurs fonds (le capital est sorti sous forme de prêts).
- Les emprunteurs ne peuvent plus rembourser car les conditions d’utilisation à 100 % font monter les taux d’intérêt vers 1000-3000 % APR (mécanisme de marché).
- Les tarifs émetteurs s’envolent, créant un cercle vicieux où plus personne ne veut déposer.
C’est techniquement un bank run on-chain, similaire à ce qui se passait dans la finance traditionnelle au 19e siècle avec les banques sans assurance dépôts. La différence : dans Aave, le bank run est public et instantané, visible en temps réel via les outils on-chain.
Pour les bases sur les protocoles de lending et les pools, voyez nos guides Pool de liquidité DeFi et Aave V4 hub-and-spoke.
Le piège des déposants et l’emprunt contre soi-même
L’effet le plus paradoxal du hack : les déposants Aave qui n’ont rien à voir avec rsETH se retrouvent piégés. Leurs USDC, USDT, ETH déposés ne sont plus retirables parce que le pool est à 100 % d’utilisation.
Pour libérer leurs fonds, certains utilisateurs adoptent une stratégie créative et coûteuse : ils empruntent contre leurs propres dépôts ! Selon The Defiant, environ 300 millions de dollars sont empruntés de cette façon en 24-48 heures.
Le mécanisme : un utilisateur qui a déposé 1 000 USDC sur Aave et veut récupérer ses fonds peut emprunter 800 USDC en utilisant son dépôt comme collatéral. C’est un emprunt avec un taux d’intérêt élevé (1000 %+ APR temporairement), mais qui libère immédiatement les fonds. Quand le pool retrouve une utilisation normale, l’utilisateur rembourse l’emprunt et retire son dépôt.
Coût pour les utilisateurs piégés : selon les calculs The Defiant, 2-5 % de pertes sur les fonds dans les jours de crise. Sur des milliards déposés, ça représente plusieurs dizaines de millions de pertes pour les utilisateurs qui n’avaient rien à voir avec le hack initial.
C’est l’illustration concrète du risque systémique DeFi. Vous pouvez être un utilisateur prudent, ne pas toucher rsETH, et quand même perdre de l’argent à cause d’un hack sur un autre protocole avec lequel vous n’avez aucune relation directe.
Le scénario bad debt : 124 M$ ou 230 M$ ?
Combien Aave va-t-il finalement perdre dans cette crise ? La réponse dépend de comment Kelp DAO répartit la perte entre les holders rsETH.
Selon l’analyse The Defiant, Aave modélise deux scénarios principaux :
Scénario A : socialisation des pertes sur tous les rsETH (estimé : 124 M$ bad debt).
Si Kelp DAO décide de répartir la perte sur tous les holders rsETH proportionnellement, le rsETH se déprécie d’environ 15 % de manière permanente. Tous les holders perdent 15 % de leur position, mais aucun n’est totalement ruiné. Pour Aave, le bad debt devient 124 M$ : c’est la part des positions rsETH-collatéralisées qui ne peut plus être liquidée à 100 % à cause du depeg.
Scénario B : confinement aux Layer 2s (estimé : 230 M$ bad debt).
Si Kelp DAO décide de protéger les holders Ethereum mainnet et de concentrer les pertes sur les wraps L2s (Arbitrum, Mantle, Optimism), la situation est plus complexe. Les rsETH sur L2s deviennent quasi sans valeur (pas de backing), tandis que les rsETH Ethereum gardent leur backing. Pour Aave, le bad debt explose à 230 M$ parce que la majorité des positions rsETH-collatéralisées sur les L2s deviennent intégralement non-recouvrables.
La décision finale de Kelp DAO, début mai 2026, penche vers le scénario A (socialisation), moins coûteux pour Aave mais plus politique pour Kelp. Le bad debt final estimé par les analystes : 150-180 M$, entre les deux scénarios.
Pour le détail des choix Kelp post-hack, voyez notre article Kelp DAO.
La liquidation des positions attaquant
Aave a réagi avec une discipline opérationnelle sur les positions de l’attaquant. Selon The Block, à partir du 25 avril, l’équipe Aave (en coordination avec les liquidateurs automatiques) a liquidé progressivement les positions rsETH-backed de l’attaquant sur Ethereum, Arbitrum, et autres chaînes.
Au 7 mai 2026, BanklessTimes confirme que les dernières positions de l’attaquant ont été liquidées. C’est-à-dire que le rsETH frauduleux qu’il avait déposé pour emprunter de l’ETH a été vendu sur le marché ouvert, et les ETH qu’il avait empruntés sont remboursés (partiellement, à cause du depeg).
Le résultat : Aave a récupéré une partie significative des ETH empruntés frauduleusement, mais pas la totalité. C’est ce solde non-récupéré qui constitue le bad debt final.
DeFi United, équipe analytics au sein de Galaxy Digital, estime qu’il manque environ 10 % de l’ETH nécessaire pour restaurer le backing complet rsETH. Soit environ 8 500-10 000 ETH (~25-30 M$) de shortfall final côté Kelp.
La gouvernance Aave : décisions critiques en 48h
Le hack Kelp DAO a été un stress test pour la gouvernance Aave. Plusieurs décisions critiques ont dû être prises en 48 heures, en pleine panique de marché.
Décision 1 : geler le marché rsETH ou pas ? Geler aurait évité que de nouveaux utilisateurs déposent rsETH (devenu toxique) comme collatéral. Mais geler aurait aussi empêché les liquidations automatiques des positions existantes. Aave a choisi de garder le marché actif en mode dégradé, permettant les liquidations mais bloquant les nouveaux deposits rsETH.
Décision 2 : ajuster les paramètres LTV en urgence ? Le rsETH avait un LTV (loan-to-value) de 70 % avant le hack. Le baisser à 50 % aurait protégé Aave mais aurait déclenché des liquidations massives sur les utilisateurs honnêtes. Aave a choisi de garder les LTV existants mais de bloquer les nouveaux emprunts contre rsETH.
Décision 3 : compenser ou pas via la réserve ? La réserve Aave (~30-40 M$) ne suffit pas à couvrir 124-230 M$ de bad debt. Aave choisit de diluer le shortfall via une combinaison de réserve protocol + AAVE token sales potentielles + mint inflationniste si nécessaire. Le scénario du buyback de 50 M$/an du framework AWW (cf. notre article Aave V4) est probablement suspendu temporairement.
Cette gestion de crise est un succès gouvernance. Aave a évité une socialisation chaotique des pertes, maintenu l’opérationnel sur tous les autres marchés, et préservé la confiance des utilisateurs sur le long terme.
Que retenir : risques systémiques DeFi
Quatre conclusions pratiques pour un investisseur retail français.
La composabilité DeFi est une arme à double tranchant. Les pools Aave deviennent plus efficients grâce à la possibilité d’utiliser n’importe quel actif comme collatéral. Mais quand l’un de ces actifs (rsETH) est compromis, le risque se propage à tout le système. C’est un argument pour limiter l’exposition aux assets périphériques et privilégier les blue chips audités (USDC, USDT, ETH, WBTC) comme collatéral principal.
Les risques de pool 100 % utilisation sont réels. Avant 2026, le scenario de pools complets était théorique. Maintenant c’est documenté empiriquement. Pour les déposants, conserver une portion de leurs holdings dans des pools moins utilisés ou hors lending (HW wallet) protège contre ce risque temporaire de blocage.
Les liquid restaking tokens (LRT) cumulent les risques. Aux risques de slashing Ethereum + EigenLayer s’ajoutent les risques bridge (cf. Kelp), oracle, et systémique propagation. Pour des holdings long terme prudents, les LSTs (Lido stETH, Rocket Pool rETH) restent préférables aux LRTs (Kelp rsETH, EtherFi eETH, Renzo ezETH).
La gouvernance d’un protocole compte autant que son code. La réaction Aave (transparence, décisions rapides, communication continue) a permis de limiter la panique. Une équipe paniquée ou opaque aurait probablement déclenché un effondrement du token AAVE et du protocole. Pour les utilisateurs, investir dans des protocoles avec des gouvernances éprouvées (Aave, Maker, Lido) est une protection contre les crises systémiques.
Pour creuser ces thèmes, voyez aussi nos articles sur le DeFi reboot, le Black Sunday II (autre crise de liquidité), Aave V4, et Liquid staking.
Si je dépose des USDC sur Aave maintenant, suis-je en danger ?
Le risque résiduel est faible mais non nul. Les pools USDC/USDT/ETH ont retrouvé une utilisation normale (60-80 %) post-crise et la liquidité est restaurée. Le bad debt rsETH est isolé sur le marché rsETH spécifique, pas socialisé sur les autres marchés. Le risque systémique pourrait revenir si un autre hack majeur frappait Aave dans les semaines suivantes, mais la probabilité d’un nouveau choc immédiat est limitée. Pour des dépôts modestes (1-50 K€), le risque reste acceptable. Pour des montants plus gros, diversifier sur plusieurs protocoles (Aave + Compound + Morpho) reste prudent.
Pourquoi 100 % d’utilisation est-il dangereux ?
Sur Aave, le taux d’intérêt suit une fonction qui monte exponentiellement quand l’utilisation approche 100 %. À 90 % util, le taux APY peut être 8-12 %. À 95 %, 30-50 %. À 100 %, plusieurs centaines voire milliers de pourcent en taux annualisé. Concrètement, à 100 %, les emprunteurs sont écrasés par les intérêts s’ils ne remboursent pas rapidement, et les déposants ne peuvent pas retirer parce que tout le capital est emprunté. C’est un état temporaire (les emprunteurs finissent par rembourser, ou la dette est liquidée), mais pendant la fenêtre, c’est un blocage effectif des fonds.
Aave va-t-il survivre à ce hack ?
Oui, sans aucun doute. Aave gère 15+ Md$ de TVL et le bad debt potentiel (150-180 M$) représente environ 1 % de cette TVL. La réserve protocol et la trésorerie peuvent absorber l’essentiel sans socialisation. La gouvernance a réagi de manière exemplaire avec transparence et décisions rapides. AAVE a chuté de 8-12 % dans la semaine post-hack mais a récupéré progressivement. La crise renforcera l’image d’Aave comme protocole résilient, ce qui peut être positif pour l’attrait long terme.
Faut-il fuir le rsETH après ce hack ?
Pas définitivement, mais avec prudence. Kelp DAO travaille sur la restauration du backing rsETH (DeFi United estime 10 % short de l’ETH nécessaire). Une fois la perte couverte (probablement par une combinaison de réserve protocol + AAVE token + mint dilutif + emprunts externes), le rsETH retrouvera sa parité 1:1 avec ETH. Les holders patients devraient récupérer la majorité de leur valeur. Les holders pressés sortent à perte. Pour de nouveaux entrants, attendre la résolution complète (mai-juin 2026) avant de positionner.
Quelle différence entre liquidation hacker vs liquidation utilisateur ?
Mécaniquement identique : un protocole de lending vend le collatéral pour rembourser un emprunt. Différence d’intention : un utilisateur honnête se fait liquider parce qu’il a sous-estimé le risque ou n’a pas remboursé à temps. Un hacker se fait liquider parce que ses positions frauduleuses (rsETH non-backé) sont identifiées et fermées. Différence de récupération : pour l’utilisateur, le solde post-liquidation lui revient. Pour le hacker, le solde post-liquidation va à la trésorerie protocol pour compenser les pertes.
Compound a-t-il subi la même contagion ?
Oui, mais avec moins d’amplitude. Compound a aussi reçu des dépôts de rsETH frauduleux par l’attaquant Kelp, et a subi une crise de liquidité similaire (mais moins sévère qu’Aave car TVL Compound < TVL Aave). Les analystes estiment le bad debt Compound à 30-50 M$, soit environ 5-7x moins qu’Aave. Compound V3 a réagi de manière similaire (liquidations automatiques, gel des nouveaux deposits rsETH). La gouvernance Compound est passée par le même processus accéléré qu’Aave.
Le test de stress 2026 réussi
La contagion Kelp DAO → Aave d’avril 2026 est passée à l’histoire DeFi comme le plus gros stress test système depuis l’effondrement Terra/Luna en mai 2022. La différence : ici, les protocoles blue chip (Aave, Compound, Morpho) ont tenu. Pas de cascade de défauts, pas de socialisation chaotique, pas de death spiral.
Trois éléments expliquent cette résilience :
Architecture améliorée. Les versions modernes des protocoles (Aave V3/V4, Compound V3) ont des paramètres de risque plus stricts, une isolation entre marchés, et des mécanismes de pause d’urgence qui n’existaient pas en 2022.
Gouvernance professionnalisée. Les DAOs Aave, Compound et autres ont des processus de réponse aux crises bien rodés. Decisions en 24-48h, multisig avec timelock court, communication continue. Pas d’amateurisme.
Maturité de la communauté. Les utilisateurs DeFi 2026 ont vu Terra, FTX, Tornado Cash, Curve, et apprennent à réagir rationnellement aux crises. Le bank run sur Aave a été massif mais ordonné, sans panic complète.
Pour un investisseur retail français, le message est mitigé. Positif : les blue chips ont tenu, validant l’institutionnalisation DeFi 2024-2026. Négatif : même les blue chips peuvent subir des bad debts substantiels via composabilité. La diversification reste essentielle.
Pour aller plus loin, voyez aussi notre article Kelp DAO (cause directe), Drift Protocol hack (autre cas Lazarus avril), Aave V4, et le Black Sunday II (autre crise systémique).
