Les ennuis reprennent sur la DeFi : 293 millions de dollars. Plus de 10 milliards de bank run. Zéro recours juridique.
A l'heure où je vous écris, le festival de Cannes a lieu, mais le film portant sur le hack ayant eu lieu dans la DeFi n'a pas été projeté.
Le plus grand hack sur la DeFi en 2026, 293 millions de dollars volatilisés, accrochez-vous je vous déroule le synopsis !
Tout commence, en avril dernier, par l'exploitation d'une faille critique sur le bridge LayerZERO, permettant aux hackers de s'emparer de 293 millions de dollars en rsETH, mais contrairement à un hack classique, l'histoire ne s'arrête pas là.
Plutôt que de chercher à retirer immédiatement les fonds dérobés, les hackers adoptent une stratégie bien plus sophistiquée : ils déposent les 293 millions de rsETH volés sur Aave en guise de collatéral, lui permettant d’emprunter près de 250 millions de dollars en ETH.
En quelques heures, le marché ETH d'Aave se retrouve saturé, le taux d'utilisation du pool grimpe à 100 %, bloquant les retraits et faisant s'envoler les taux d'intérêt.
La panique se propage rapidement aux autres marchés, notamment USDC et USDT déclenchant un bank run en cascade sur l'ensemble de la DeFi.
Face à l'urgence, la communauté DeFi se mobilise. L'attaque est rendue publique et une levée de fonds d'urgence est organisée, portée notamment par le fondateur d'Aave pour combler le déficit de 293 millions de dollars. Les pools de liquidité finissent par se débloquer, et les retraits redeviennent possibles.
A propos de cette attaque, trois acteurs sont impliqués : LayerZero, KelpDAO et Aave.
LayerZero est un protocole d’interopérabilité qui connecte des blockchains (plus de 50 à ce jour), permettant aux développeurs de créer des applications et des tokens. LayerZero est intervenu en tant que bridge entre blockchains. Sa position d'intermédiaire en fait un point de défaillance particulièrement exposé. Sa sécurité repose sur le système de sécurité dit Decentralized Verifier Network (DVN).
KelpDAO est un protocole DeFi de liquid restaking et dont le token est le rsETH. Le liquid restaking est une évolution du restaking classique. Des protocoles comme KelpDAO permettent aux utilisateurs de déposer leurs ETH sur un protocole de restaking d'Ethereum et émettent en contrepartie un token représentatif, le rsETH. Ce token continue de générer les rendements du restaking tout en pouvant être librement réutilisé dans d'autres protocoles DeFi, notamment comme collatéral sur des plateformes de prêt. Le capital n'est donc plus immobilisé : il travaille simultanément sur plusieurs couches.
Aave est un protocole DeFi open source permettant de créer des marchés de liquidité non custodial afin de générer des intérêts en fournissant et en empruntant des actifs avec un taux d’intérêt variable.
Les hackers ont, sans entrer tout de suite dans les détails techniques, forgé 116 500 “faux” rsETH, soit 18% des rsETH en circulation, afin d'obtenir de l'Ether “réel” en retour.
Le hack du bridge de LayerZero révèle-t-il les limites structurelles d'un système financier décentralisé opérant sans cadre réglementaire adapté ?
Le hack du bridge de LayerZero ne se résume pas à une simple défaillance technique, il révèle les fragilités structurelles d'un écosystème financier qui gère des dizaines de milliards de dollars sans les garde-fous correspondants.
Pour en mesurer pleinement la portée, il convient de revenir sur les mécanismes qui ont rendu cette attaque possible (I), avant d'en examiner les conséquences sur l'écosystème DeFi (II). Ce constat invite ensuite à dresser un état des lieux d'une réglementation aujourd'hui largement dépassée par l'innovation (III), pour envisager enfin les solutions techniques, institutionnelles et juridiques susceptibles de prévenir une prochaine crise (IV).
(I) Déchiffrage des éléments techniques de la DeFi
La Finance décentralisée (DeFi) désigne un écosystème de services financiers fonctionnant sur des blockchains, sans intermédiaire traditionnel comme les banques ou les institutions financières.
Grâce à des smart contracts (des programmes autonomes exécutés sur la blockchain),la DeFi permet notamment d’emprunter, de prêter, d’échanger des crypto-monnaies ou encore de percevoir des intérêts, de manière décentralisée et automatisée.
Il convient de distinguer deux niveaux d'infrastructure :
L'infrastructure on-chain qui regroupe les éléments directement inscrits sur la blockchain : les smart contracts et le registre distribué lui-même.
L'infrastructure off-chain, quant à elle, désigne l'ensemble des composants informatiques qui font fonctionner le système en coulisse, les serveurs, les bases de données, les logiciels, sans figurer sur la blockchain. C'est précisément cette seconde couche, souvent invisible et centralisée, qui a été exploitée lors du hack de LayerZero.
Les attaquants ont mené une opération en plusieurs temps.
KelpDAO utilise un adaptateur OFT (Omnichain Fungible Token) de LayerZero pour rendre le rsETH disponible sur une vingtaine de layers 2 Ethereum et autres blockchains.
Le mécanisme repose sur un modèle de lock-and-mint : lorsque des rsETH quittent Ethereum via le bridge, ils sont verrouillés dans un contrat de dépôt (escrow), et un message cross-chain autorise leur déblocage au retour. La sécurité de cet escrow repose donc entièrement sur l'intégrité des messages qui en autorisent les sorties.
LayerZero confie la vérification de ces messages à des DVN (Decentralized Verifier Networks), et chaque protocole choisit librement le nombre de DVN devant valider un message avant sa délivrance. KelpDAO avait opté pour une configuration 1-de-1, avec LayerZero Labs comme unique vérificateur, une configuration minimale qui s'est révélée être le talon d'Achille du système.
Les hackers ont transmis un faux message LayerZero, prétendant provenir d'Unichain (le layer 2 d'Uniswap), à l'adaptateur OFT de KelpDAO. Ce dernier a alors libéré 116 500 rsETH vers l'adresse des hackers sur Ethereum en une seule transaction. Deux tentatives supplémentaires ont été bloquées lorsque KelpDAO a suspendu ses contrats.
Ce hack n'a pu aboutir qu'en raison de la configuration Decentralized Verifier Network (DVN) 1-de-1 retenue par KelpDAO. Cette configuration signifie qu'une seule entité, LayerZero Labs, était habilitée à valider l'ensemble des transferts transitant par le bridge. À l'image d'un coffre-fort qui ne nécessiterait qu'une seule clé pour s'ouvrir, il suffisait de compromettre ce vérificateur unique pour prendre le contrôle total du système.
Une configuration multi-vérificateurs aurait exigé le consensus de plusieurs entités indépendantes simultanément, rendant le hack considérablement plus difficile à orchestrer.
Les hackers ont ensuite utilisé la plateforme pour récupérer les rsETH en utilisant Aave et d’autres plateformes de DeFi afin d’obtenir de l'Ether et d’autres crypto-monnaies de façon clean.
KelpDAO a suspendu l’ensemble de ses smart contracts, notamment les fonctionnalités relatives au pool de dépôt LRT, aux retraits, aux oracles ainsi qu’au token rsETH, afin de contenir les répercussions sur l’écosystème DeFi. Cette mesure n’a toutefois pas empêché des conséquences particulièrement importantes sur la DeFi.
(II) Conséquences sur l’écosystème DeFi
Ce hack a d’abord entraîné une première conséquence majeure : la création d’une « bad debt » de 236 millions de dollars au sein du marché ETH sur Aave et d’autres plateformes. Sur des protocoles de prêt tels que Aave ou Compound, tout emprunt doit être garanti par un collatéral dont la valeur est supérieure aux fonds empruntés. Les utilisateurs ont alors compris à la suite de ce hack que cette position correspondait à une dette en rsETH sur Aave adossée à des actifs volés et destinée à ne jamais être remboursée.
Une des autres conséquences est l’impact du hack sur le taux d’emprunt. En ce qui concerne Aave, la gouvernance avait approuvé rsETH comme collatéral avec un taux d’emprunt (loan ratio) de 93%, un seuil de liquidation à 95% et un bonus de liquidation à 1%. Il y avait également une marge de sécurité (buffer) de 7 % entre le montant emprunté et le moment où la position devient sous-collatéralisée. La marge de sécurité s’est révélée totalement inefficace en l’espèce, de sorte que le protocole a conservé sa bad debt.
Ce hack a également gravement affecté la confiance des utilisateurs envers le protocole et, plus largement, envers l’écosystème DeFi. Cette perte de confiance a eu des répercussions immédiates sur la liquidité disponible.
La liquidité, en DeFi, désigne la capacité d'un protocole à honorer les retraits de ses utilisateurs à tout moment. Elle repose sur des pools de liquidité, des réserves de fonds déposés par des utilisateurs en échange de rendements. Ces pools sont le carburant du système : sans eux, plus d'échanges, plus d'emprunts, plus de remboursements possibles.
Lorsque les utilisateurs ont compris la situation cela a déclenché la panique, et des milliers d'utilisateurs ont voulu retirer leurs fonds simultanément sur l'ensemble des protocoles exposés au rsETH. Les pools de liquidité, dimensionnés pour absorber des retraits ordinaires, se sont retrouvés face à une demande extraordinaire et simultanée qu'ils ne pouvaient pas honorer. C'est précisément ce mécanisme qui a conduit Kelp DAO à suspendre ses contrats en urgence, car la liquidité disponible ne suffisait plus à couvrir les demandes de retrait.
Il faut aussi préciser, qu’une partie de ces actifs avait déjà été empruntée par d’autres utilisateurs. En conséquence, le taux d’utilisation du pool a atteint 100 %. Aave a alors également décidé de suspendre la fonctionnalité de retrait pour l’ensemble des utilisateurs, y compris ceux n’ayant aucun lien avec le rsETH.
Cette situation a ensuite provoqué un véritable bank run sur tous les protocoles de lending, même ceux qui n’avaient pas été la cible du hack. Il est ainsi possible de parler d’un véritable phénomène de contagion entre les différents protocoles. On constate également que les attaques ne ciblent plus uniquement les smart contracts d’un protocole isolé ; elles deviennent de plus en plus sophistiquées et reposent sur des mécanismes en cascade destinés à affecter simultanément l’ensemble de l’écosystème.
Ce hack a entraîné des mesures exceptionnelles, notamment des appels de fonds, des contributions personnelles des fondateurs ainsi que la saisie de 90 millions de dollars sur Arbitrum afin de tenter de couvrir les pertes et préserver la stabilité de la DeFi.
Cette tension a mécaniquement entraîné une hausse des taux d’intérêt, jusqu’à environ 13 %, afin de rééquilibrer le marché et inciter le remboursement des emprunts.
Cette affaire illustre enfin un paradoxe structurel de la DeFi : la composabilité, sa plus grande force, est aussi son talon d'Achille. Plus les protocoles s'interconnectent pour optimiser les rendements, plus la défaillance de l'un d'eux peut contaminer l'ensemble.
C'est le même mécanisme qui a conduit à la crise des subprimes en 2008, des instruments financiers tellement imbriqués que personne ne comprenait plus le risque agrégé.
(III) Etat des lieux de la réglementation US / UE
Les États-Unis ne disposent pas à ce jour de cadre légal unifié pour la DeFi. La bataille de compétences oppose historiquement la Securities and Exchange Commission (SEC) et la Commodity Futures Trading Commission (CFTC), l'une revendiquant l'autorité sur les crypto-actifs qualifiés de security token ou investment token, l'autre sur ceux considérés comme des commodities.
Un conflit que les deux régulateurs ont tenté de dépasser en s'associant au sein du Project Crypto, une initiative de coordination inter-agences visant à délivrer des orientations plus claires.
Dans le même esprit, le Digital Commodity Intermediaries Act, adopté en commission sénatoriale fin janvier 2026, vise à confier à la CFTC la mission de réguler les crypto-actifs de type commodity, comme le Bitcoin, tout en renforçant la protection des consommateurs. La SEC semble ainsi conserver sa compétence à l’égard des jetons émis par des entreprises lorsqu’ils représentent des titres ou des actions de celles-ci.
C'est précisément en raison de ce vide juridique que des protocoles comme KelpDAO ont pu opérer, et c'est ce même vide qui prive aujourd'hui les utilisateurs lésés de tout recours juridique effectif.
Mais les choses évoluent puisqu'un consensus semble avoir été trouvé par le CLARITY Act qui est destiné à clarifier les compétences respectives de la SEC et de la CFTC en matière de digital assets Ce texte a franchi une nouvelle étape au Sénat avec son adoption par la commission bancaire ce mois de mai 2026 !
À ce stade, le texte ne comporte toutefois pas de dispositions clairement définies concernant la finance décentralisée (DeFi).
L'Union européenne quant à elle dispose d'un cadre réglementaire crypto très structuré avec le règlement MiCA (Markets in Crypto-Assets), entré en vigueur progressivement depuis le 30 juin 2024. Toutefois, son Considérant 22 stipule explicitement que les fournisseurs de services de crypto-actifs entièrement décentralisés n’entrent pas dans son champ d'application. La DeFi est donc hors scope de MiCA, ce qui signifie que des protocoles tels que KelpDAO, Aave, en sont aujourd'hui exclus. Cette situation est néanmoins amenée à évoluer. La Commission européenne est tenue de publier un rapport spécifique sur la réglementation de la DeFi, et les travaux préparatoires à un MiCA 2 auraient d'ores et déjà débuté. Parallèlement, plusieurs autorités nationales de surveillance ont publié leurs propres analyses sur le sujet. L'écosystème DeFi, de son côté, s'engage progressivement dans le dialogue avec les régulateurs, cherchant à co-construire un cadre qui préserve les fondements de la décentralisation tout en répondant aux exigences de transparence et de protection des utilisateurs.
Un second texte mérite d'être mentionné : le Digital Operational Resilience Act (DORA), applicable depuis janvier 2025, qui s'impose aux entités financières régulées sous le droit européen, y compris les sociétés crypto agréées MiCA. Il introduit des obligations strictes en matière de cybersécurité et de signalement rapide des incidents majeurs aux régulateurs. DORA aurait précisément imposé les obligations qui ont fait défaut lors du hack Kelp : signalement rapide, standards de sécurité minimum, gestion des risques liés aux prestataires tiers. Mais pour cela encore faut-il que le protocole soit agréé MiCA, ce qui n'est pas le cas.
(IV) Réflexion sur les solutions juridiques et techniques envisageables
Face à ce type d'attaque, les réponses envisageables s'articulent autour de trois axes : juridique, assurantiel et technique.
Sur le plan juridique, les régulateurs européens ont commencé à travailler sur l'encadrement de la DeFi. Parmi les pistes évoquées figurent la responsabilité légale des développeurs de smart contracts, l'interdiction des pools de liquidité anonymes, ou encore l'obligation de KYC sur toutes les interfaces, même décentralisées. En l'état actuel du droit, aucun mécanisme légal ne permet d'indemniser les utilisateurs lésés, une lacune qui renvoie inévitablement à la question de l'assurance.
Or, l'assurance décentralisée, dans son état actuel, ne peut pas jouer le rôle que la réglementation refuse encore d'assumer. Pour qu'elle constitue une protection réelle, plusieurs évolutions sont indispensables. D'abord, la création d'un fonds de garantie mutualisé à l'échelle de l'écosystème, rendu obligatoire pour tout protocole dépassant un certain seuil de TVL, sur le modèle du fonds de garantie des dépôts bancaires en finance traditionnelle. Ensuite, une définition élargie des sinistres couverts, incluant explicitement les attaques sur infrastructure off-chain, aujourd'hui exclues de la plupart des polices existantes, Enfin, une obligation de couverture minimale.
Sur le plan technique, les solutions envisageables reposent sur un resserrement du ratio TVL, l'instauration d'une obligation de validation multi-signature DVN, une politique plus conservatrice d'intégration des collatéraux, ainsi que la réalisation d'audits de sécurité renforcés.
La résolution de la crise, quant à elle, a tenu davantage à la solidarité spontanée de l'écosystème qu'à un mécanisme de protection préétabli. Fondateurs et acteurs majeurs de la DeFi se sont mobilisés en urgence, coordonnant une levée de fonds ad hoc pour combler le déficit et permettre le déblocage progressif des pools de liquidité. Une réponse collective efficace, mais qui ne masque pas l'ampleur des dégâts : la TVL de l'ensemble de l'écosystème a subi une contraction massive, dont le retour à la normale prendra du temps.
Dans le sillage de l'attaque, certains acteurs ont tiré les conséquences qui s'imposaient. KelpDAO et d'autres protocoles auraient annoncé mettre fin à leur utilisation de LayerZero pour leurs opérations de bridge, lui préférant les solutions de Chainlink. Parallèlement, plusieurs protocoles ont lancé des audits d'urgence de leurs mécanismes de vérification, tandis que LayerZero a interdit la configuration DVN « 1-de-1 » pour tous les nouveaux projets.
Ces repositionnements illustrent une tendance de fond : l'écosystème apprend, se recompose et resserre progressivement ses standards de sécurité. Chaque hack, aussi dévastateur soit-il, accélère la maturation d'un secteur encore jeune, contraint de se solidifier sous la pression de ses propres vulnérabilités.
Conclusion
Le hack Kelp DAO n'est pas un accident. C'est le symptôme d'un écosystème qui a grandi trop vite, trop fort, sans jamais poser les fondations institutionnelles à la hauteur de ses ambitions. En quelques heures, une configuration DVN mal sécurisée, des nœuds RPC compromis et l'absence de tout filet réglementaire ont suffi à transformer 293 millions de dollars en fumée et à déclencher un bank run de 10 milliards.
Ce que cet épisode révèle, c'est avant tout une contradiction que la DeFi ne peut plus ignorer. Il promet la décentralisation, mais repose sur des infrastructures centralisées. Il promet la transparence, mais ses failles sont off-chain, invisibles aux outils de sécurité traditionnels. Il promet l'autonomie financière, mais laisse ses utilisateurs sans recours lorsque le système s'effondre.
Face à cette réalité, ni les États-Unis ni l'Union européenne ne disposent aujourd'hui d'un cadre capable de protéger efficacement les utilisateurs DeFi.
Un protocole de liquid restaking token n'est jamais plus solide que son maillon le plus faible : le bridge qui assure son interopérabilité, et surtout Aave, le protocole de lending sur lequel repose l'ensemble de la DeFi. Quand l'un vacille, c'est tout l'écosystème qui tremble. Tant que cette dépendance structurelle ne sera pas résolue, chaque nouvelle intégration à un marché de prêt DeFi ne fera qu'élargir la surface d'attaque exposant l'ensemble de l'écosystème à la reproduction de vulnérabilités dont les conséquences sont désormais bien documentées.
Synthèse
Ce qui s'est réellement passé
KelpDAO permettait aux utilisateurs de déposer de l'ETH en échange de rsETH, un token liquide utilisable comme collatéral sur d'autres protocoles.
Principe simple, adoption massive.
Les hackers ont exploité une faille non pas dans les smart contracts, mais dans l'infrastructure off-chain de LayerZero, le bridge utilisé pour transférer les rsETH entre blockchains.
En deux étapes :
→ Compromission des nœuds RPC internes de LayerZero
→ Attaque DDoS sur les nœuds externes pour forcer un basculement vers les nœuds compromis
Résultat : 116 500 rsETH créés sans aucun collatéral. 18% de l'offre totale. De l'air transformé en ETH réel via Aave.
Le facteur aggravant ?
KelpDAO avait retenu une configuration DVN 1-de-1 : une seule entité validait l'ensemble des transferts. Un seul point de défaillance. Un seul coffre-fort avec une seule clé.
Ce que ça révèle pour vos projets
Trois enseignements structurels que tout builder doit intégrer :
1. La composabilité est votre plus grand risque Plus votre protocole s'intègre à d'autres (lending, bridging, restaking), plus votre surface d'attaque s'élargit. La bad debt de 236M$ sur Aave n'était pas une cible, elle était une conséquence. Votre audit de sécurité doit cartographier l'ensemble de la chaîne de dépendances, pas seulement vos propres contrats.
2. L'infrastructure off-chain est votre angle mort La plupart des audits DeFi se concentrent sur les smart contracts on-chain. L'attaque LayerZERO était invisible à ces outils elle a frappé les bridges. Si vous n'auditez pas votre infrastructure off-chain, vous laissez une porte ouverte.
3. Le vide juridique ne vous protège pas, il vous expose Ni MiCA (qui exclut explicitement la DeFi de son périmètre), ni le cadre américain encore en construction (CLARITY Act, Digital Commodity Intermediaries Act) ne vous offrent aujourd'hui de filet réglementaire. La Commission européenne est tenue de publier un rapport spécifique sur la réglementation de la DeFi, et les travaux préparatoires à un MiCA 2 auraient d'ores et déjà débuté. Parallèlement, plusieurs autorités nationales de surveillance ont publié leurs propres analyses sur le sujet. L'écosystème DeFi, de son côté, s'engage progressivement dans le dialogue avec les régulateurs, cherchant à co-construire un cadre qui préserve les fondements de la décentralisation tout en répondant aux exigences de transparence et de protection des utilisateurs.
Ce que les protocoles ont fait ensuite
Les réponses techniques sont venues vite :
KelpDAO a migré son bridge vers Chainlink CCIP
LayerZero a interdit la configuration DVN 1-de-1 pour tous les nouveaux projets
Plusieurs protocoles ont lancé des audits d'urgence de leurs mécanismes de vérification
Les acteurs de l’écosystème ont procédé à une levée de fond ad hoc pour sauver l’écosystème DeFi