Cette histoire a été mise à jour pour indiquer : « Un hack de 290 millions de dollars sur le rsETH pourrait avoir laissé Aave V3 avec une dette irrécouvrable sur sa réserve de WETH. » Il s’agit d’une actualité en cours de développement qui sera complétée dès que nous aurons davantage d’informations.
La réserve de Wrapped Ether (WETH) d’Aave V3 supporte une dette irrécouvrable après que des attaquants ont exploité le token de liquid restaking rsETH de KelpDAO et l’ont utilisé comme collatéral pour emprunter sur le protocole de prêt.
Le développeur Solidity et auditeur 0xQuit a signalé la situation sur X, avertissant les déposants que le pool de WETH était quasiment compromis et que seuls des retraits partiels pourraient devenir possibles une fois que le fonds de soutien Umbrella d’Aave aura comblé le déficit.
Comment le hack de rsETH a généré une dette irrécouvrable sur Aave
Le hack a débuté lorsqu’un attaquant a alimenté ses wallets par le biais de Tornado Cash. Environ 116 500 rsETH ont été drainés de KelpDAO, pour une valeur totale de plus de 290 millions de dollars.
L’attaquant a ensuite déposé le rsETH volé en collatéral sur Aave V3 et a emprunté un volume important de WETH contre celui-ci.
Puisque le rsETH était dénué de garantie après ce drain, les positions résultantes sont, de fait, impossibles à liquider. Aave se retrouve ainsi avec des obligations WETH qu’il ne peut pas recouvrer par la liquidation classique.
« J’aimerais annoncer de meilleures nouvelles mais il semble que WETH sur Aave soit foutu. Retirez ce que vous pouvez, mais il est probablement trop tard », a averti 0xQuit, développeur Solidity et auditeur.
Les marchés rsETH sur Aave V3 et Aave V4 ont été gelés, Aave assurant que les smart contracts n’ont pas été compromis, l’incident étant uniquement lié au rsETH.
« Geler les marchés rsETH empêche de nouveaux dépôts et emprunts contre des collatéraux rsETH le temps d’évaluer la situation. Nous examinons les informations concernant les emprunts en rsETH sur Aave réalisés après le hack… si le protocole accumule de la dette irrécouvrable suite à cet incident, les actifs du fonds Umbrella pourront être utilisés pour compenser le déficit », a déclaré Aave.
Ce que le fonds Umbrella signifie pour les déposants de WETH
Le système Umbrella d’Aave, qui a remplacé l’ancien Safety Module fin 2025, a été conçu pour ce type de situation.
Les utilisateurs ayant staké de l’aWETH dans le coffre Umbrella font face à une réduction automatique de leur mise afin de couvrir le déficit.
Une fois le cycle de slashing achevé, les fournisseurs restants de WETH devraient pouvoir accéder à des retraits partiels.
Toutefois, un remboursement intégral n’est pas garanti et les déposants pourraient subir une décote sur leur position.
L’incident marque le premier véritable test en conditions réelles de la couverture automatisée des dettes irrécouvrables par Umbrella. Il soulève également de nouvelles interrogations quant aux risques de vérifier en liste blanche des tokens de liquid restaking comme collatéral dans les protocoles de prêt.
En parallèle, l’équipe Upshift, qui propose des coffres non custodiaux pour la gestion des actifs tokenisés, a assuré ses utilisateurs qu’ils n’avaient aucune exposition au rsETH.
« Nous sommes en contact avec KelpDAO au sujet d’un possible hack de rsETH. Par précaution, l’équipe Kelp a décidé de suspendre temporairement les dépôts et retraits sur les coffres High Growth ETH et Kelp Gain pendant leur enquête. Les coffres Upshift USDC, Core USDC et EarnAUSD n’ont aucune exposition au rsETH. Nous fournirons des mises à jour dès que nous aurons plus d’informations de la part de l’équipe Kelp », a écrit Upshift.
