%2520(1)%2520(1)%2520(1).png)
Deux piratages significatifs, survenus à trois semaines d’intervalle, ont une nouvelle fois mis en lumière la fragilité de l’infrastructure DeFi. Le 2 avril, le protocole de contrats à terme perpétuels Drift, basé sur Solana, a été vidé d’environ 286 millions de dollars dans le cadre d’une attaque présumée liée à la Corée du Nord, selon la société d’analyse blockchain Elliptic.
L’attaque a reposé sur une ruse d’ingénierie sociale dans laquelle les attaquants ont gagné la confiance de l’équipe de Drift. Ils ont réussi à tromper au moins deux des cinq membres du Security Council de Drift en leur faisant pré-signer des transactions spéciales via la fonctionnalité des durable nonces de Solana, obtenant en réalité un chèque en blanc valide pendant des semaines ou des mois et pouvant être exécuté plus tard sans que les signataires en connaissent la véritable intention malveillante.
Le samedi 18 avril, un attaquant a drainé 116 500 rsETH, soit environ 292 millions de dollars, du pont cross-chain de Kelp DAO alimenté par LayerZero en exploitant une faille dans la configuration de messagerie cross-chain de Kelp, ce qui a déclenché le transfert de tokens vers une adresse d’attaquant financée quelques heures plus tôt via Tornado Cash.
Le multisig d’urgence de Kelp a exécuté la fonction pauseAll environ 46 minutes après le drain initial, bloquant deux tentatives ultérieures qui auraient ajouté près de 100 millions de dollars de pertes. Aave a réagi en gelant les marchés rsETH sur les versions V3 et V4, signalant un risque de dette irrécouvrable sur les positions ouvertes après l’exploit. Le token AAVE a chuté d’environ 21 % tandis que la TVL du protocole a diminué d’environ 9 milliards de dollars depuis l’événement. Au total, ces deux incidents représentent environ 578 millions de dollars d’actifs volés en l’espace de seulement 20 jours.
>> Explorez notre tableau de bord TVL
La contagion est un risque actuel, et non un risque du passé
Pour les institutions qui cherchent à évaluer la DeFi comme une véritable source de rendement, ces événements confirment une préoccupation structurelle : la contagion reste un risque actuel, et non un risque du passé. L’incident Kelp est particulièrement révélateur.
Un piratage sur un bridge n’est pas resté confiné au protocole émetteur : il s’est propagé à Aave, générant une dette irrécouvrable sur un Liquid Restaking Token devenu un actif de collatéral mainstream.
C’est exactement le mécanisme de transmission que les comités de risque pointent du doigt lorsqu’ils examinent les mandats DeFi : un point de défaillance unique qui se propage à travers des protocoles supposés indépendants.
L’affaire Drift ajoute un deuxième signal d’alerte institutionnel. Un acteur étatique opérant à grande échelle continue de cibler les plateformes DeFi. Pour les fonctions conformité et AML, cela renforce l’idée que les marchés de contrats perpétuels on-chain présentent un profil de risque de contrepartie et de sanctions plus élevé que les venues d’exécution traditionnelles.
Aucun des deux incidents n’a concerné un protocole obscur : Drift figure parmi les principaux DEX de contrats perpétuels sur Solana, et rsETH est déployé sur plus de 20 réseaux. Le message est clair : la dette de sécurité de la DeFi s’alourdit à chaque nouvelle couche de composabilité, et les contrôles existants (assurance, audits et multisig) n’ont pas encore comblé l’écart.
Interrogé sur le risque d’un effet de cascade dans les jours ou semaines à venir, Paul Frambot, CEO de Morpho, a déclaré à The Big Whale : “Le dilemme central non résolu après l’exploit Kelp est de savoir où la perte sera finalement réalisée : si elle est absorbée par les détenteurs de Kelp sur le mainnet (et donc impacte Aave sur Ethereum) ou si elle est imposée aux utilisateurs des Layer 2 qui ont choisi de bridger, une issue extrêmement brutale qui effacerait les positions et bloquerait les déploiements Aave sur Optimism, Mantle et Arbitrum, déclenchant une guerre juridique inextricable avec des avocats des deux côtés.”
>> DeFi : avec Morpho, Apollo signe un investissement stratégique
L’avis du The Big Whale
Le récit de l’adoption institutionnelle de la DeFi a progressé sur les volets réglementation, garde et collatéral tokenisé. Il n’a pas progressé sur le risque systémique. Tant que les ponts, les oracles et les couches de restaking resteront vulnérables à des drains en une seule transaction à neuf chiffres, cette classe d’actifs aura du mal à passer d’une exposition tactique à une allocation de cœur de portefeuille.
Le modèle « pause-and-patch », visible à nouveau ce week-end avec Kelp et Aave, est opérationnellement compétent mais stratégiquement insuffisant pour des bilans qui ne peuvent tolérer des résultats binaires.L’architecture actuelle demande encore aux institutions de souscrire à des risques qu’elles ne sont pas structurellement équipées pour tarifer : risque de smart contract au niveau protocole, risque de messagerie cross-chain et acteurs géopolitiques menaçants.
Tant que le secteur ne proposera pas une sécurité standardisée des ponts, des coupe-circuits contraignants et une capacité d’assurance crédible à grande échelle, la plupart des desks TradFi continueront à s’engager dans la DeFi via des mandats étroits et strictement cloisonnés plutôt qu’une intégration complète au portefeuille.
%201.png)
%201.png)
%201.png)
%201.png)
%201.png)
