La "DeFi" a gagné, mais à quel prix ?

Contexte

Le 18 avril, le groupe de hackers nord-coréen Lazarus a compromis le rsETH de KelpDAO en exploitant le bridge LayerZero via une combinaison de RPC poisoning et de DDoS ciblé, permettant de récupérer 116 500 rsETH non collatéralisés sur Ethereum. KelpDAO avait déployé une configuration DVN en 1-of-1, rendant la compromission d’un seul vérificateur suffisante pour falsifier un message cross-chain.

Plutôt que de vendre les fonds volés, les attaquants les ont déposés en collatéral sur Aave, Compound et Euler, empruntant environ 292 millions de dollars en ETH à travers plusieurs protocoles, avec la majorité des fonds empruntés sur Aave via différents réseaux.

→ L’analyse technique complète de l’exploit et le rôle de chaque acteur dans cette affaire sont disponibles ici :

Depuis le hack, la TVL totale de la DeFi a chuté de 17 %, Aave étant le protocole le plus impacté avec plus de 12 milliards de dollars de sorties (47 %).

---

Une communauté dans le flou

Une fois les conséquences du hack devenues évidentes, la résolution de la situation était encore loin d’être terminée et les effets de contagion ont continué. Alors que les utilisateurs DeFi retiraient leurs fonds d’Aave et que l’eMode permettait la collatéralisation du rsETH pour emprunter de l’ETH, les prêteurs se sont retrouvés bloqués sur Aave avec peu, voire aucune liquidité disponible pour retirer leurs fonds.

Il s’agit d’une caractéristique du modèle de lending en pools : les prêteurs déposent leurs fonds et les emprunteurs les retirent en apportant un collatéral. Cependant, tant que les emprunteurs ne remboursent pas leur dette, les prêteurs peuvent se retrouver sans liquidité disponible pour retirer leurs fonds.

Afin d’inciter les emprunteurs à rembourser leurs prêts, ou d’attirer de nouveaux dépôts sur le protocole, Aave utilise les taux d’intérêt. Lorsque l’utilisation des pools est élevée, ces taux augmentent fortement, rendant les stratégies de boucle et de yield farming non rentables, tout en augmentant la rémunération des prêteurs.

Voici une explication plus technique pour ceux qui souhaitent aller plus loin. Si vous voulez une explication plus pratique, vous pouvez passer cette partie. Le modèle de taux d’intérêt (IRM) est divisé en deux zones distinctes par un point pivot appelé le “kink” (noté U*).

• Avant le kink (0% → U) : la courbe est “douce”. C’est la zone optimale de fonctionnement où les taux augmentent progressivement afin d’attirer les déposants sans pénaliser excessivement les emprunteurs. La pente de cette section est appelée Slope 1.*
• Après le kink (U → 100%) : la courbe devient beaucoup plus raide. C’est la “zone de stress”, signalant aux emprunteurs que le capital devient coûteux et aux déposants qu’ils peuvent capter une prime en apportant de la liquidité. Cette pente est appelée Slope 2.*

Actuellement, les pools de stablecoins sont bloqués dans la zone Slope 2, avec un U* fixé à 92 % pour l’USDC. Au-delà de ce seuil, l’APY de dépôt explose pour inciter à l’apport de liquidité, tandis que les taux d’emprunt augmentent fortement pour décourager toute nouvelle dette.

Ce mécanisme peut fonctionner dans des conditions de marché “normales”, lorsque les utilisateurs DeFi et les institutions cherchent du rendement supplémentaire, mais pas en situation de stress où les utilisateurs ne sont plus certains de pouvoir récupérer leur capital ou deviennent illiquides.

En réponse au gel de liquidité, l’économiste en chef de Circle, Gordon Liao, a proposé d’augmenter fortement les paramètres de taux d’Aave, en relevant le Slope 2 à 50 % et en abaissant le kink à 85 %. Cela porterait les taux d’emprunt maximum à 53,5 % et les taux de dépôt à 48,2 %, afin en théorie d’inciter les emprunteurs à rembourser et d’attirer de nouvelles liquidités.

La communauté est toutefois restée sceptique. Un rendement à 48 % peut sembler attractif, mais lorsque la confiance est brisée, aucun acteur rationnel n’immobilise son capital sans garantie de sortie. Pire encore, un choc aussi brutal pourrait provoquer la liquidation de plus de 70 millions de dollars de positions en boucle avant même qu’un nouveau déposant n’intervienne.

Cette proposition a également mis en lumière la posture de Circle par rapport à Tether, qui avait répondu à la crise du protocole Drift en proposant une ligne de crédit directe de 100 millions de dollars, une approche très différente que la communauté n’a pas oubliée.

---

Le véhicule de secours DeFi United

En réponse au hack, Aave et KelpDAO ont lancé l’initiative DeFi United, un véhicule de secours visant à reconstituer les réserves de rsETH et à indemniser intégralement les détenteurs. Cela s’accompagne d’une coordination avec les partenaires et les parties affectées.

Cette section sera mise à jour au fur et à mesure des nouvelles contributions et sera finalisée une fois que l’ensemble du processus sera terminé.

Les contributions annoncées

Contributions des protocoles

• Lido (2 500 ETH)

Lido a été le premier protocole à annoncer sa participation au véhicule de secours avec une donation pouvant aller jusqu’à 2 500 stETH.

L’exposition principale que Lido cherche à protéger concerne ses vaults EarnETH, qui intègrent des stratégies liées au rsETH. Si le véhicule de secours n’est pas entièrement financé, les déposants de ces vaults pourraient subir jusqu’à 9 000 ETH de pertes. Lido contribue donc afin d’éviter un impact plus large pour ses propres utilisateurs.

Une condition importante est à souligner : les fonds de Lido ne seront déployés que si l’intégralité du déficit est couverte. Les 2 500 stETH sont explicitement conditionnés à la fermeture complète du gap de 120 000 ETH. Lido refuse d’être un backstop partiel laissant encore ses utilisateurs exposés, ce qui signifie une participation “tout ou rien”.

En complément de cette contribution, Lido prévoit également d’allouer jusqu’à 3 millions de dollars de parts de ses propres vaults, qui seraient brûlées si le véhicule de secours n’est pas entièrement financé.

À ce stade, la proposition de gouvernance devrait être validée avec plus de 12 millions de votes en faveur de ce plan.

• EtherFi (5 000 ETH)

EtherFi a proposé d’utiliser sa trésorerie afin de restaurer les collatéraux liés au rsETH en injectant 5 000 ETH dans le véhicule de secours. L’objectif est de combler le déficit de collatéral, protéger les utilisateurs et empêcher la propagation de la bad debt dans la DeFi.

Il reste difficile de savoir si cette initiative vise également à gagner des parts de marché face à ses concurrents, mais il s’agit de l’une des contributions les plus importantes provenant d’un protocole non directement affecté.

• Golem Foundation & Golem Project (1 000 ETH)

La Golem Foundation a annoncé une contribution de 1 000 ETH au véhicule de secours afin de soutenir l’écosystème DeFi dans son ensemble. Elle n’avait aucune exposition au rsETH et semble agir uniquement dans une logique de soutien aux utilisateurs impactés.

• Aave DAO Treasury (25 000 ETH)

La trésorerie d’Aave a proposé de contribuer à hauteur de 25 000 ETH à l’initiative DeFi United via une proposition de gouvernance portée par Token Logic. Nous anticipons que ce vote sera validé, raison pour laquelle cette contribution est incluse directement dans cette section.

Il s’agit à ce jour de la vision la plus claire et complète de la crise rsETH parmi les trois acteurs impliqués.

Contributions individuelles

Alors que les protocoles se mobilisent pour combler le déficit, plusieurs individus et entités non affiliées ont également décidé de contribuer pour soutenir Aave dans ce contexte.

• Stani Kulechov (5 000 ETH)
• Ernesto Boado et BGD Labs (350 ETH)
• Emilio Frangella (500 ETH)

Une adresse dédiée aux donations publiques (defiunited.eth) a également été créée et peut être suivie ici.

Le prêt de Mantle

La fondation Mantle a décidé d’intervenir pour aider à combler le déficit. Il est intéressant de noter que Mantle ne fait pas une donation directe, mais propose un prêt pouvant aller jusqu’à 30 000 ETH.

Voici les détails :

• Montant : jusqu’à 30 000 ETH
• Taux : taux Lido + 1 %
• Maturité : 36 mois maximum, avec possibilité de remboursement anticipé sans pénalité
• Conditions pour Aave : 5 % des revenus totaux du DAO + collatéral de 11 millions de dollars en AAVE
• En complément : délégation de 130 000 AAVE pour permettre à Mantle de participer à la gouvernance
• Custody : wallet multisig avec Mantle détenant une clé

Les contributions non divulguées

Voici les protocoles et entités ayant annoncé une participation sans préciser le montant. Cette section sera mise à jour à mesure que les engagements seront clarifiés.

• Ethena Labs

Il est logique pour Ethena de participer, puisque les utilisateurs de USDe et sUSDe sur Aave sont directement impactés par le manque de liquidité et subissent actuellement des rendements négatifs.

• LayerZero

LayerZero, acteur central de cet incident, a annoncé qu’il contribuerait également à l’initiative DeFi United peu après Ethena. Sa contribution devrait théoriquement être significative, étant donné le rôle de son infrastructure dans le hack. Aucun montant n’a encore été communiqué au moment de la rédaction.

• Ink Foundation & Tydro

Tydro est un fork d’Aave sur Ink. Avec Ink Foundation, ils ont annoncé leur soutien public sans plus de détails pour le moment. Il est possible que leur approche soit similaire à celle de Mantle, compte tenu de leur dépendance à Aave.

• Frax Finance

Frax n’a pas annoncé de contribution directe, mais leur communication laisse penser à un soutien via la liquidité sur les stablecoins, facilitant ainsi la sortie des positions utilisateurs.

• KelpDAO

À noter que KelpDAO n’a pas encore annoncé de contribution concrète. Nous avons néanmoins obtenu confirmation qu’un engagement financier est prévu, sans précision sur le montant.

Le gel sur Arbitrum

En parallèle du véhicule DeFi United, une partie des fonds a été récupérée sur Arbitrum. Le 21 avril, Arbitrum a annoncé avoir gelé 30 766 ETH liés au hack de KelpDAO, soit environ 71 millions de dollars. Les fonds ont été transférés vers un wallet sécurisé et ne peuvent plus être déplacés sans nouvelle décision de gouvernance.

Contrairement à ce que l’on pourrait penser, il n’y a pas eu de rollback ni de modification de l’historique. L’intervention s’est faite via une transaction système appelée ArbitrumUnsignedTxType.

Ce type de transaction ne peut pas être généré par un utilisateur classique. Il est réservé à ArbOS (le système d’exploitation d’Arbitrum) et exécuté par le sequencer, sous validation multisig du Security Council (modèle 12-of-N). Dans ce cas, 9 membres sur 12 ont validé l’opération.

---

Pourquoi cela a fonctionné… mais cela ne fonctionnera pas à nouveau

Soyons lucides. Jusqu’ici, le véhicule de secours DeFi United a fonctionné parce que… tout simplement, il a été porté par Aave. Cela n’a été possible que grâce à l’effet réseau massif d’Aave, avec des partenaires eux-mêmes suffisamment exposés à ce désastre et ayant donc un intérêt direct à combler ce trou.

Cette situation présente une étrange ressemblance avec ce qui s’est produit sur Aave en 2023 avec Michael Egorov, le fondateur de Curve Finance.

Un déjà-vu ?

Si vous êtes familier avec la situation de 2023, vous pouvez passer les trois prochains paragraphes. Pour ceux qui ont besoin d’un rappel, voici le contexte :

Le 30 juillet 2023, Curve a été exploité à cause d’une faille dans le langage de programmation Vyper, entraînant le vol d’environ 70 millions de dollars. Cela a immédiatement soulevé des inquiétudes concernant les prêts collatéralisés d’Egorov : il avait emprunté plus de 100 millions de dollars contre environ 460 millions de tokens CRV, soit 47 % de l’offre totale. Une chute du prix du CRV aurait pu entraîner la liquidation de sa position et déclencher une cascade de liquidations.

Les prêts d’Egorov étaient répartis, notamment avec un emprunt de 63 millions de dollars sur Aave, collatéralisé par 34 % de l’offre de CRV. Le problème était structurel : en cas de liquidation, Aave aurait dû vendre ces CRV sur le marché, ce qui aurait amplifié la chute des prix en raison d’un manque de liquidité.

La résolution est venue via des accords OTC informels : en août, Egorov a vendu 106 millions de CRV pour 46 millions de dollars afin de réduire son risque de liquidation, notamment à des acteurs comme Wintermute, Justin Sun, l’investisseur NFT Jeffrey Huang, ainsi qu’Aave qui a acheté pour 2 millions de dollars de CRV. Une entité anonyme a conclu le plus gros deal OTC en achetant 17,5 millions de CRV.

Malheureusement, Egorov n’a pas rendu la pareille dans ce cas précis. Il a répondu sur Twitter que sa participation ne serait “pas facile sans vendre [son] rein” et que Curve ne disposait pas des fonds nécessaires.

La similarité réside dans le fait que l’ensemble de l’écosystème DeFi s’est mobilisé pour résoudre une crise. Cela a même une certaine dimension presque “poétique”. On a réellement l’impression que l’écosystème se mobilise collectivement pour résoudre une crise qui affecte à la fois les utilisateurs et les protocoles les plus importants de l’industrie. Cela donne presque l’image d’une industrie qui mérite d’être sauvée dans ces moments-là.

Il y a toutefois un facteur clé à considérer pour expliquer pourquoi cette réponse a été aussi efficace.

Aave est le facteur clé de cette résolution

Tout le succès du véhicule de secours jusqu’ici peut être largement attribué à Aave. KelpDAO et LayerZero bénéficient directement de cet effet.

Cet “effet” correspond à la composabilité d’Aave avec les autres protocoles qui dépendent de son bon fonctionnement, à la communication autour de slogans comme “DeFi United”, “Just Use Aave” ou “Aave Will Win”, à la coordination une fois les fonds sécurisés, ainsi qu’à l’importance systémique d’Aave dans l’écosystème crypto.

La DeFi a tenu parce que c’est Aave qui a été touché. La réponse n’aurait probablement pas été la même si Kelp n’avait pas été intégré à Aave et avait uniquement existé sur des protocoles moins centraux pour l’écosystème.

Cela explique également pourquoi Aave n’a pas eu recours au module Umbrella, ce qui aurait pénalisé ses propres utilisateurs, pourtant conscients d’être le backstop en cas de problème.

Cela explique pourquoi les utilisateurs n’ont pas subi de pertes (“haircut”). Aave doit préserver son image pour rester fiable et maintenir cette idée de “no ghost left behind”. Aave doit réussir pour que la DeFi survive.

Cela explique aussi pourquoi Aave a eu une présence bien plus importante que LayerZero ou Kelp dans la communication publique. LayerZero aurait pu finir comme un énième hack de bridge. Kelp comme un protocole de restaking mal configuré. Aave, lui, n’avait tout simplement pas le droit d’échouer ni de perdre la confiance de ses utilisateurs.

La manière la plus directe de le dire est la suivante : la solution d’Aave pour backstop ce type de situation, le module Umbrella, doit rester un dernier recours pour préserver la confiance des utilisateurs.

Mais cela soulève des questions fondamentales sur notre industrie et sur ce que nous sommes en train de construire.

---

Des questions qui méritent d’être posées

Le hack rsETH a prouvé que la DeFi peut survivre à un exploit de 292 millions de dollars sur son protocole de lending dominant. Mais il a aussi montré à quel point cette survie dépend d’un alignement de conditions très spécifiques. Aave devait être exceptionnellement bien capitalisé. L’attaquant devait laisser les fonds sur une chaîne capable de les geler. L’écosystème autour devait être suffisamment exposé et craindre la contagion pour contribuer.

• Que signifie réellement le “De” dans DeFi ?

La récupération liée au rsETH a mis cette question sous tension comme jamais auparavant dans l’histoire de la DeFi. Le Security Council d’Arbitrum a gelé les fonds d’un attaquant par décision exécutive. Aave n’a pas activé son module Umbrella censé couvrir ce type de situation.

La “communauté” qui a mobilisé des trésoreries et validé des plans de sauvetage est en réalité un petit nombre d’acteurs majeurs agissant rationnellement dans leur propre intérêt. C’est peut-être le seul moyen réaliste pour qu’un système financier encore jeune survive à des chocs existentiels.

Mais cela devrait mettre fin à l’illusion confortable selon laquelle la résilience de la DeFi provient de sa décentralisation. Elle provient en réalité de sa profondeur financière, de sa capacité de coordination concentrée et de la volonté des gros acteurs d’agir. Le “De” était une idée, mais dans l’exécution, la réalité est différente.

Si Aave échoue, la DeFi peut échouer. Si toute la finance “décentralisée” repose sur un seul protocole, est-elle réellement décentralisée ?

La réalité est que depuis des années, nous soutenons chez OAK Research qu’il faut arrêter de parler de “DeFi” et parler de “finance on-chain”, car en dehors de quelques poches isolées, plus rien n’est réellement décentralisé. S’il y a un point positif à tirer de ce hack et de cette phase de recovery, c’est qu’il pourrait servir de précédent pour faire évoluer la compréhension sur ce sujet.

• Le module Umbrella fonctionnera-t-il un jour comme prévu ?

Umbrella disposait de 54 millions de dollars alors que le protocole avait besoin d’environ 230 millions. Même activé, il aurait donc laissé un trou d’environ 175 millions.

Le problème plus profond concerne son activation : on a observé une fuite massive des capitaux dès que l’impact a été connu. Ni le Safety Module (son prédécesseur), ni Umbrella n’ont jamais été utilisés. Et il y a une raison simple : dès qu’un module de ce type subit une perte, plus aucun utilisateur rationnel n’accepte d’y immobiliser ses fonds, ce qui détruit le buffer de sécurité.

En parallèle, comme on le voit ici, Umbrella est un dernier recours. Si un utilisateur est rémunéré faiblement pour risquer une perte totale, la confiance disparaît. Aave utilisera toutes les autres solutions possibles (y compris sa propre trésorerie) avant d’y recourir.

Umbrella fonctionnera… jusqu’au moment où il sera réellement testé à grande échelle. C’est le même paradoxe qui rend tous les systèmes d’assurance sous-capitalisés au pire moment.

• Quel futur pour Arbitrum ?

L’intervention du Security Council a été décisive, efficace, mais profondément inconfortable. Elle a permis de sauver 71 millions de dollars. Mais elle a aussi démontré qu’Arbitrum est fondamentalement un système où neuf signatures peuvent modifier l’état de la chaîne, ce qui est très différent du produit vendu par le narratif de la décentralisation.

Même si Arbitrum n’est pas encore un rollup Stage 2, cela crée un précédent difficile à effacer. Cette intervention était légitime et probablement nécessaire, mais elle place Arbitrum dans une zone grise, potentiellement exposée à des précédents juridiques pour les futurs hacks.

De notre point de vue : Arbitrum doit accélérer sa transition vers un rollup Stage 2 afin d’éliminer ce précédent et réduire sa responsabilité future.

• Que se passe-t-il lors du prochain hack hors Aave ?

La réponse au rsETH a fonctionné parce que la victime était le plus grand protocole de la DeFi, avec 181 millions de dollars de trésorerie, 140 millions de revenus annuels et un effet gravitationnel suffisant pour rendre l’ensemble de l’écosystème dépendant de sa survie.

Retirez ces conditions, avec un protocole de taille moyenne, écosystème plus restreint, absence de Security Council, et le résultat est totalement différent. Personne ne viendra à la rescousse. Aucun fonds de secours ne sera créé. Aucune coordination ne permettra de geler les fonds à temps.

Aave est peut-être devenu le seul protocole “too big to fail”, avec suffisamment de ressources et un effet réseau suffisant pour survivre à ce type de crise. Aucun autre protocole n’est aujourd’hui dans cette position.

---

Conclusion

Cette conclusion reflète uniquement l’opinion personnelle de l’auteur.

Si cela n’était pas encore clair, je suis convaincu que si cette situation s’était produite ailleurs que sur Aave, l’issue aurait été très différente.

Je tiens à saluer le leadership actuel d’Aave pour avoir coordonné ces efforts et démontré son engagement envers le protocole. 30,6K ETH proviennent directement d’Aave ou d’acteurs liés à Aave :

• Aave DAO : 25 000 ETH
• Stani Kulechov : 5 000 ETH
• BGD Labs et son fondateur Ernesto : 350 ETH
• Emilio : 500 ETH

Ces acteurs à eux seuls représentent plus de 40 % du montant nécessaire pour combler le déficit. Ils ont coordonné les efforts et mobilisé l’écosystème pour éviter toute perte utilisateur, que ce soit sur Aave ou ailleurs. Cela mérite d’être souligné, et cela confirme pourquoi Aave est aujourd’hui le leader de cet écosystème.

À l’inverse, la réponse des deux principaux acteurs impliqués dans ce hack, LayerZero et KelpDAO, a été décevante. Alors que l’écosystème se mobilisait, ils se sont renvoyé la responsabilité sans annoncer de contribution concrète au moment de la publication. Aave a assumé ses responsabilités. On ne peut pas en dire autant de ces protocoles.

Cet épisode montre que l’industrie est encore remplie de points de défaillance uniques, que ce soit au niveau des protocoles ou de l’écosystème dans son ensemble avec un acteur devenu “too big to fail”.

La question se pose alors : la composabilité est-elle réellement nécessaire, et jusqu’où vaut-il la peine de prendre des risques en intégrant des actifs exotiques ?

Comme toujours, la DeFi n’apprend que lorsqu’un problème survient. Et ici, beaucoup de choses ont cassé. Cela entraînera probablement de nombreux changements pour rendre l’écosystème plus robuste, plus sécurisé et plus professionnel… jusqu’à la prochaine crise.