*L'Alerte d'Aave : Pourquoi un exploit de 230 millions de dollars a forcé le plus grand prêteur DeFi à changer ses règles*
Deux semaines sans dormir. C'est ainsi qu'a décrit avril 2026 Linda Jeng d'Aave Labs après que le pont de KelpDAO a été drainé.
Voici ce qui s'est passé : un attaquant a trouvé une faille dans le pont LayerZero de KelpDAO et a minté 116 500 rsETH de nulle part. D'une valeur d'environ 293 millions de dollars. Ensuite, ils ont apporté ce faux rsETH à Aave, l'ont mis en collatéral, et ont emprunté 190 millions de dollars en vrai WETH, wstETH et stablecoins.
Au moment où quelqu'un a remarqué, Aave était coincé avec *123,7 millions à 230,1 millions de dollars de mauvaises dettes*. Et la partie folle ? Le code d'Aave fonctionnait parfaitement. Le problème n'était jamais le protocole de prêt. C'était l'actif qu'ils avaient listé.
*Le vrai problème : Aave a trop fait confiance*
Le rsETH qui a été exploité n'était plus un jeton de staking liquide normal. Il avait été wrapped 4 fois avant d'atteindre Aave. Mais Aave l'a toujours traité comme un LST standard, lui donnant *93 % LTV / 95 % LT eMode*. En gros, tu pouvais emprunter 93 $ pour chaque 100 $ de rsETH que tu postais.
Donc, quand le pont a cassé, les déposants d'Aave se sont retrouvés avec la mauvaise pioche. La TVL a chuté de plus de 6 milliards de dollars. L'utilisation de WETH a dépassé 99 % pendant presque 13 jours. Plus de 5,5 milliards de stablecoins ont quitté le protocole en deux semaines.
*Alors, qu'est-ce qui change ?*
Aave jette son ancien manuel de listing. Avant, ils regardaient principalement la volatilité des prix et la liquidité. Si le jeton pumpait et avait du volume, il pouvait être listé. Plus maintenant.
À l'avenir, chaque actif sera examiné selon trois nouveaux critères :
1. *Cybersécurité* — Comment le jeton a-t-il été construit ? Le pont peut-il être piraté ?
2. *Architecture* — Est-il wrapped 4 fois avec des dépendances que personne ne comprend ?
3. *Interopérabilité* — Si un protocole échoue, est-ce que ça fait sauter tout le reste ?
Linda Jeng a déclaré qu'ils publieront un guide formel sur les “normes minimales” afin que d'autres protocoles DeFi puissent s'en inspirer. Aave veut également arrêter de regarder les pools de manière isolée et commencer à cartographier comment un exploit se propage à travers tout le DeFi.
*Le compromis*
Des règles plus strictes signifient moins de listings YOLO. Cela pourrait ralentir #AaveRevampsListingStandardsAfter$230MExploit
Deux semaines sans dormir. C'est ainsi qu'a décrit avril 2026 Linda Jeng d'Aave Labs après que le pont de KelpDAO a été drainé.
Voici ce qui s'est passé : un attaquant a trouvé une faille dans le pont LayerZero de KelpDAO et a minté 116 500 rsETH de nulle part. D'une valeur d'environ 293 millions de dollars. Ensuite, ils ont apporté ce faux rsETH à Aave, l'ont mis en collatéral, et ont emprunté 190 millions de dollars en vrai WETH, wstETH et stablecoins.
Au moment où quelqu'un a remarqué, Aave était coincé avec *123,7 millions à 230,1 millions de dollars de mauvaises dettes*. Et la partie folle ? Le code d'Aave fonctionnait parfaitement. Le problème n'était jamais le protocole de prêt. C'était l'actif qu'ils avaient listé.
*Le vrai problème : Aave a trop fait confiance*
Le rsETH qui a été exploité n'était plus un jeton de staking liquide normal. Il avait été wrapped 4 fois avant d'atteindre Aave. Mais Aave l'a toujours traité comme un LST standard, lui donnant *93 % LTV / 95 % LT eMode*. En gros, tu pouvais emprunter 93 $ pour chaque 100 $ de rsETH que tu postais.
Donc, quand le pont a cassé, les déposants d'Aave se sont retrouvés avec la mauvaise pioche. La TVL a chuté de plus de 6 milliards de dollars. L'utilisation de WETH a dépassé 99 % pendant presque 13 jours. Plus de 5,5 milliards de stablecoins ont quitté le protocole en deux semaines.
*Alors, qu'est-ce qui change ?*
Aave jette son ancien manuel de listing. Avant, ils regardaient principalement la volatilité des prix et la liquidité. Si le jeton pumpait et avait du volume, il pouvait être listé. Plus maintenant.
À l'avenir, chaque actif sera examiné selon trois nouveaux critères :
1. *Cybersécurité* — Comment le jeton a-t-il été construit ? Le pont peut-il être piraté ?
2. *Architecture* — Est-il wrapped 4 fois avec des dépendances que personne ne comprend ?
3. *Interopérabilité* — Si un protocole échoue, est-ce que ça fait sauter tout le reste ?
Linda Jeng a déclaré qu'ils publieront un guide formel sur les “normes minimales” afin que d'autres protocoles DeFi puissent s'en inspirer. Aave veut également arrêter de regarder les pools de manière isolée et commencer à cartographier comment un exploit se propage à travers tout le DeFi.
*Le compromis*
Des règles plus strictes signifient moins de listings YOLO. Cela pourrait ralentir #AaveRevampsListingStandardsAfter$230MExploit