Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
2,92 milliards de dollars américains de leçons : ce que le vol de rsETH révèle sur la sécurité de la DeFi
Écrire : Liu Jiaolian
Introduction : Une coïncidence chanceuse
Le 18 avril 2026, le pont inter-chaînes rsETH de Kelp DAO a été attaqué, avec un vol d’actifs d’une valeur d’environ 292 millions de dollars. L’attaquant a déposé le rsETH volé dans Aave, empruntant de l’ETH, ce qui a déclenché une panique de créances douteuses. Le taux d’utilisation de l’ETH sur Aave a instantanément grimpé à 100 %, et les fonds de nombreux déposants innocents ont été verrouillés.
Et Jiaolian, deux mois plus tôt, le 5 février, venait de transférer tous ses dépôts sur Aave vers Spark. La motivation était simple : le rendement de Spark était un peu plus élevé que celui d’Aave. Résultat : il a évité cette crise par inadvertance.
Ce n’est ni une prévision, ni un jugement, simplement de la chance. Mais cette chance a amené Jiaolian à réfléchir sérieusement à une question : pourra-t-il encore être aussi chanceux la prochaine fois ?
Profitant de cet incident, Jiaolian a revisité ses erreurs, ses leçons tirées dans le monde DeFi, et ses réflexions finales, qu’il partage ci-dessous.
I. 18.04.2026 : Comment une papillon peut-il battre des ailes
1.1 La nature de l’attaque
À 17h35 UTC le 18 avril, un portefeuille contrôlé par un attaquant a appelé le contrat EndpointV2 de LayerZero, déclenchant le contrat de pont inter-chaînes de Kelp DAO, libérant 116 500 rsETH vers l’adresse de l’attaquant. Selon le prix du marché à l’époque, cela valait environ 292 millions de dollars. [1]
L’attaquant avait obtenu ses fonds 10 heures plus tôt via le pool Tornado Cash d’1 ETH, une méthode courante de mélange de fonds dans les attaques DeFi.
La réaction de Kelp DAO n’a pas été lente. 46 minutes plus tard, leur portefeuille multisignature d’urgence a lancé pauseAll, gelant le contrat principal, empêchant deux tentatives ultérieures de voler environ 100 millions de dollars. [1]
1.2 La propagation du risque à Aave
Mais la véritable tempête ne concernait pas Kelp DAO, mais un protocole de prêt plus connu : Aave.
L’attaquant a déposé le rsETH volé dans Aave comme garantie, empruntant de l’ETH. Cette étape a transformé une attaque externe en un risque de créance douteuse au sein d’Aave. [2]
Le marché a réagi rapidement. Les baleines ont commencé à retirer leur ETH d’Aave. Selon la surveillance de Lookonchain, le taux d’utilisation de l’ETH sur Aave a rapidement atteint 100 %, ce qui signifie qu’il n’y avait presque plus d’ETH disponible pour retirer ou emprunter. [2]
Les utilisateurs innocents, qui n’avaient jamais touché au rsETH et n’avaient que de l’ETH déposé, ont aussi vu leurs fonds verrouillés.
C’est le prix du prêt dans un pool partagé : on n’a pas besoin d’être en contact direct avec le mauvais acteur, tant qu’on partage le même pool, on en subit les conséquences.
1.3 Les risques inhérents au prêt non isolé
Michael Egorov, fondateur de Curve, a tweeté après l’incident : « C’est le risque inhérent au modèle de prêt non isolé que tout le monde aime. Bonne évolutivité, mais risques accrus. La gestion des risques est essentielle, et Aave a bien géré cela dans le passé. » [3]
Il sous-entendait que ce problème n’était pas spécifique à Aave, mais inhérent à ce modèle.
Jiaolian pense que cette analyse est correcte. Mais le problème, c’est que pour un utilisateur ordinaire, il est difficile d’évaluer à l’avance quand un risque va se concrétiser.
II. Moment de contradiction : entendre les paroles vs voir les actions
2.1 La division entre rassurer et agir
Aave a déclaré que la situation était sous contrôle, et que le module de sécurité Umbrella pouvait servir de première ligne de défense. [1]
Mais la vraie discussion portait sur la performance d’Andre Cronje (AC).
AC a tweeté : « Aave a 7 milliards de dollars en dépôts ETH, dont seulement 100 millions ont été retirés, l’impact est minime. Même en cas de créance douteuse, le module de sécurité d’Aave et le token AAVE sont la première ligne de défense. » [4]
En même temps, il a fait retirer tout l’ETH de son protocole PUT, qu’il a fondé. Son explication : « L’objectif principal de PUT est la liquidité utilisateur. La liquidité disponible sur Aave est tombée en dessous de notre seuil minimal, c’est juste une règle déclenchée, pas une indication de faillite d’Aave. » [4]
Sur le plan réglementaire, il n’a pas tort. Mais du point de vue d’un observateur, cela donne une impression : une chose, et son contraire.
2.2 L’histoire qui rime toujours
Ce n’est pas la première fois.
En mai 2022, Luna s’est effondrée. Do Kwon a répété qu’il ne fallait pas paniquer après le dépeg d’UST, que l’algorithme se rétablirait. Ceux qui l’ont cru ont été déçus.
En novembre 2022, FTX a fait faillite. SBF a dit que ses actifs étaient sains, que FTX était en bonne santé. Ceux qui l’ont cru ont aussi été déçus.
Un ami de Jiaolian, qui avait beaucoup d’économies sur FTX, a choisi de retirer ses fonds face à la panique et aux rassurances simultanées. Plus tard, il a dit qu’il ne savait pas si FTX allait vraiment faire faillite, mais il savait qu’en cas de problème, il ne pourrait pas s’enfuir. Alors il a préféré partir en avance.
Ce raisonnement, selon Jiaolian, est ce que tout utilisateur doit garder en tête en période de crise : « Un homme prudent ne construit pas un mur sous une falaise qui pourrait s’effondrer. » On ne sait pas si le mur tombera, mais on sait qu’on n’a pas besoin d’être dessous.
III. Deux expériences de Jiaolian : de l’enfermement à la chance
3.1 La première : Compound verrouillé
En novembre 2025, Jiaolian a déposé des USDC sur Compound. Il n’a pas touché à deUSD, ni compris ce qu’était xUSD.
Mais le 4 novembre, l’équipe de xUSD a reconnu une perte de 93 millions de dollars, et deUSD s’est dépegé. La dépeg de deUSD a suivi. Compound a suspendu les retraits en urgence à 5h du matin. [5]
Les fonds de Jiaolian ont été verrouillés.
Ce jour-là, il a écrit : « On aurait pu, en étant prudent, retirer un jour plus tôt, éviter la panique. Mais là, on a dû suspendre les retraits soudainement, sans même avoir le temps de fuir. » [5]
Heureusement, la perte n’était que de quelques millions, et le module de sécurité a couvert le tout. Finalement, pas de catastrophe.
Mais Jiaolian a retenu une leçon : le risque peut se transmettre. On n’a pas besoin d’être en contact direct avec le mauvais acteur, il suffit d’être dans le même pool pour en subir les conséquences.
3.2 La deuxième : retrait d’Aave
Le 5 février 2026, Jiaolian a transféré ses dépôts Aave vers Spark.
La raison était simple, même un peu banale : le rendement d’Aave avait baissé, celui de Spark était un peu plus élevé. Jiaolian a simplement déplacé ses fonds d’un endroit à rendement faible vers un endroit à rendement plus élevé.
Ce genre d’opération se produit tous les jours. Jiaolian n’avait pas prévu que deux mois plus tard, Aave aurait un problème, ni analysé le risque rsETH, ni eu d’informations privilégiées.
Mais il a évité la crise d’avril par inadvertance.
Il considère cela comme de la chance. Mais il se demande si cette chance n’a pas une certaine nécessité dans le hasard.
3.3 Comparaison des deux expériences
Première : piégé passivement, mais échappé par chance. Deuxième : mouvement actif, évitant le danger sans le vouloir.
Il n’est pas nécessaire de juger si c’est juste ou faux, ni même de le faire. Tant qu’on maintient la liquidité, on peut éviter certains pièges sans le savoir.
Mais ce n’est pas une solution durable. Comme dit le proverbe : « Qui va au bord de la rivière, risque d’être mouillé. »
IV. Un nouveau champ de bataille : l’opacité hors chaîne de Spark
4.1 Un refuge temporaire
Après Aave, Jiaolian a placé une partie de ses fonds dans Spark.
Mais qu’est-ce que Spark ? Spark est une couche de liquidité automatisée qui répartit automatiquement des actifs comme USDS, sUSDS, USDC dans divers protocoles DeFi et produits RWA pour optimiser le rendement. [6]
4.2 Composition des actifs
Selon les données officielles de Spark, la valeur totale des actifs de la couche de liquidité est d’environ 2,1 milliards de dollars.
Jiaolian a noté que plus de 90 % des actifs sont des stablecoins en chaîne, traçables. Mais une partie, gérée par l’institution Anchorage, représente environ 7 %, ce qui correspond à des actifs hors chaîne, non accessibles aux utilisateurs ordinaires.
4.3 Échange de risques
Jiaolian pense que passer d’Aave à Spark n’est pas une mise à niveau de sécurité, mais un échange de risques.
Dans des protocoles comme Aave ou Compound, les risques sont relativement transparents : quels sont les collatéraux, quels sont les seuils de liquidation, le code est open source. Les risques viennent de la volatilité du marché ou d’attaques.
Dans Spark, de nouveaux risques apparaissent : gestion institutionnelle, RWA, stratégies opaques. On ne sait pas ce que Anchorage fait avec ses 150 millions de dollars, ni si on peut suivre en temps réel chaque changement de stratégie.
Ce n’est pas que Spark soit dangereux. Depuis son lancement, Spark gère plus de 4 milliards de dollars sans incident de sécurité. Jiaolian veut dire que tout protocole comporte des risques, mais de types différents. Les utilisateurs doivent connaître ces risques, et ne pas croire aveuglément qu’un protocole est toujours sûr.
V. Comparaison historique : quatre leçons
Jiaolian a rassemblé ses expériences et crises DeFi dans un tableau :
[Tableau non reproduit ici]
Il en tire quatre leçons :
Ne pas construire sous un mur dangereux. En cas de signal d’alerte, supposer que le mur va tomber, et partir en avance. Si le mur ne tombe pas, vous avez perdu quelques frais de gaz et quelques jours d’intérêt. Si le mur tombe, vous avez tout conservé.
Ne pas croire aux discours rassurants, mais aux actions. Toute déclaration d’un influenceur ou fondateur doit être vérifiée par ses actes. Ceux qui rassurent ne portent pas de responsabilité, ceux qui agissent en portent.
Maintenir la liquidité libre. Ne jamais se retrouver dans une situation où l’on veut partir, mais on ne peut pas. Un taux d’utilisation de 100 % est un signal : quand vous voulez partir, il est déjà trop tard.
Comprendre l’échange de risques. Avant de choisir un protocole, demandez-vous : quels gains, quels nouveaux risques ? Risques transparents en chaîne vs risques d’institution hors chaîne, volatilité du marché vs erreurs stratégiques. Il n’y a pas de sécurité absolue, seulement des risques différents.
VI. La réponse ultime : sortir du jeu
6.1 Pourquoi se retirer
Jiaolian a compris une chose : tant que vous cherchez à gagner, vous êtes exposé à un certain risque.
Sur Aave, vous subissez le risque de propagation dans le pool partagé. Sur Spark, vous subissez le risque d’opacité institutionnelle. Sur stablecoins, le risque de l’émetteur et de la régulation. Sur BTC encapsulé, le risque de la garde et du pont inter-chaînes.
Changer de protocole, c’est simplement changer de risque. Ce n’est pas une mise à niveau, mais un échange.
6.2 Le plan de Jiaolian
Profiter du marché baissier actuel pour convertir progressivement la majorité ou la totalité de ses fonds DeFi en BTC en chaîne.
Ce n’est pas du wBTC, ni du cbBTC, ni aucun autre actif encapsulé. C’est du BTC natif, conservé dans son propre portefeuille sous contrôle total.
Jiaolian pense que c’est la seule façon dans le monde crypto de posséder un actif sans faire confiance à un tiers.
Pas de dépendance au code, à une équipe, à une garantie, à un garde. La seule dépendance : sa capacité à gérer ses clés privées.
6.3 Coûts et responsabilités
Le BTC en chaîne ne génère pas d’intérêt. C’est le prix à payer.
La gestion des clés privées passe de la dépendance au protocole à la responsabilité personnelle. C’est une responsabilité.
Le processus de conversion comporte aussi des risques, qu’il faut faire avec prudence.
Jiaolian accepte ces coûts, car il estime qu’une sécurité sans dépendance à personne vaut bien quelques pourcents de rendement annuel.
6.4 La dernière parole
Nous sommes entrés dans la crypto pour ne pas faire confiance aux banques. Après tout, dans DeFi, on a fini par faire confiance au code, à l’équipe, aux modules de sécurité, aux influenceurs…
Mais au final, le vrai point de départ reste le plus simple : gérer soi-même ses bitcoins.
Références :
[1] The Block, “Kelp DAO’s rsETH bridge apparently exploited for roughly $292 million in LayerZero-based attack”, 18 avril 2026
[2] Lookonchain, post X sur le taux d’utilisation ETH d’Aave atteignant 100 %, 19 avril 2026
[3] Michael Egorov, post X sur les risques de prêt non isolé, 19 avril 2026
[4] Andre Cronje, post X sur la décision de retrait de PUT, 19 avril 2026
[5] Liu Jiaolian, La tempête papillon, 5 novembre 2025. [Lien]
[6] Spark, Données officielles de la couche de liquidité Spark