La finance décentralisée (DeFi) se remet d'une série d'exploits sophistiqués qui ont déclenché un débat intense sur la capacité des protocoles blockchain publics à gérer véritablement les risques systémiques.
La crise a atteint son paroxysme en avril 2026, lorsque l'exploit de $292 million sur le pont KelpDAO alimenté par LayerZero a provoqué une ruée bancaire dévastatrice de $8.45 billion sur Aave, la plus grande plateforme de prêt décentralisée au monde. Ces retraits massifs se sont produits en 48 heures.
Stani Kulechov, fondateur et PDG d'Aave Labs, a défendu la supériorité mathématique d'Aave par rapport à la finance traditionnelle lors de l'événement Proof of Talk à Paris la semaine dernière. Au lieu d'aborder les défaillances opérationnelles d'une crise de liquidité de plusieurs millions de dollars qui a failli briser les boucliers d'insolvabilité d'Aave, Kulechov a orienté le discours pour présenter cette fuite massive de capitaux comme une preuve empirique de la « résilience » du réseau.
« L'infrastructure V3 existante d'Aave a traversé plusieurs cycles de marché », a-t-il déclaré, ajoutant qu'« Aave a fait preuve d'une grande résilience pendant des périodes très turbulentes ».
Cependant, un examen plus approfondi de la crise d'avril révèle que la survie d'Aave a moins reposé sur une conception autonome impeccable que sur un sauvetage d'urgence chaotique et dirigé par des humains d'une valeur de $300 million. Cet effort de récupération d'urgence a nécessité un engagement de 25,000 ETH de l'Aave DAO et une contribution personnelle de 5,000 ETH ($8.4 million) de Kulechov lui-même pour éviter la catastrophe.
Détourner les responsabilités
Kulechov a séparé le code des contrats intelligents centraux des défaillances de l'infrastructure externe ayant impacté le marché au sens large.
« En ce qui concerne le développement également... il y a très peu, voire aucun problème dans les contrats intelligents des protocoles DeFi en général », a soutenu Kulechov. « Il s'agit en réalité de dépendances tierces liées à une sécurité plus traditionnelle qui peuvent avoir un impact sur l'ensemble de l'espace DeFi, comme nous l'avons vu récemment ».
Bien que techniquement précis, le piratage d'avril a commencé par une attaque de spoofing RPC et DDoS ciblant les nœuds vérificateurs de LayerZero sur KelpDAO, et non par un bug dans le code d'Aave. Les analystes des risques affirment que la défense de Kulechov élude une réalité plus dure.
La société de modélisation des risques blockchain LlamaRisk a ensuite révélé que les pirates ont utilisé l'exploit pour frapper des garanties sans valeur, les déposer sur Aave et drainer du véritable Ether encapsulé (wETH), laissant Aave V3 avec une créance douteuse estimée à $123.7 million. De plus, des analystes bancaires du Bank Policy Institute ont souligné que l'assurance inadéquate d'Aave montrait comment les plateformes DeFi sont vulnérables aux ruées bancaires au détriment de leurs utilisateurs.
Feuille de route pour la V4
Kulechov a concédé que la menace architecturale de contagion nécessite une refonte complète. Pour empêcher que de futures défaillances de ponts ne déclenchent des ruées bancaires systémiques, il a indiqué qu'Aave Labs utilise sa prochaine mise à jour V4 pour restructurer fondamentalement sa gestion des risques.
Kulechov a expliqué qu'Aave Labs utilise la prochaine mise à jour technologique V4 pour redessiner entièrement la gestion des risques dans le but d'empêcher que de futurs exploits de ponts ne déclenchent des retraits de dépôts.
Il a précisé que dans la nouvelle version, un système modulaire « hub-and-spoke » remplacera la mise en commun traditionnelle de tokens, permettant au protocole central de prélever de manière autonome des primes de risque localisées et de geler des lignes de garanties spécifiques avant que la contagion n'atteigne les réserves de prêt principales.
« Lorsque vous disposez d'un système entièrement auditable et public, n'importe qui peut inspecter le code et effectuer différents types d'analyses de risques sur cette base. Je pense que c'est la clé pour construire un logiciel résilient », a-t-il conclu.
La question de savoir si les allocateurs institutionnels continueront à ignorer ces « tests de résistance » de plusieurs milliards de dollars en attendant le lancement de la V4 reste le point déterminant pour le futur grand public de la DeFi.