Le patron d'Aave répond aux critiques après une crise de liquidité historique

En avril 2026, une faille dans le bridge LayerZero de KelpDAO a provoqué des retraits de 8,45 milliards de dollars sur Aave en moins de 48 heures, la plus grande panique bancaire de l’histoire de la DeFi. Stani Kulechov, fondateur d’Aave Labs, a présenté l’épisode comme la preuve de la robustesse du protocole lors du Proof of Talk à Paris. Les faits dressent pourtant un tableau nettement moins flatteur.

Kulechov en scène, la résilience, vraiment ?

Lors de l’événement Proof of Talk qui s’est tenu à Paris la semaine dernière, Stani Kulechov a dressé un parallèle entre la finance décentralisée et les banques traditionnelles, à l’avantage de la première. 

« Aave a fait preuve d’une grande résilience même dans des périodes très turbulentes », a-t-il affirmé, sans s’attarder sur les conditions exactes de la survie du protocole.

Or, les données indépendantes racontent autre chose. Selon la société d’analyse LlamaRisk, les attaquants ont exploité la faille pour créer des garanties sans valeur, les ont déposées sur Aave, puis ont siphonné du wETH authentique, laissant le protocole avec une dette irrécouvrable estimée à 123,7 millions de dollars. 

Le sauvetage qui s’en est suivi n’avait rien d’automatique : 25 000 ETH mobilisés par la DAO Aave, 5 000 ETH injectés personnellement par Kulechov. En tout, 300 millions de dollars coordonnés en urgence par des humains, pas par le code.

Kulechov a néanmoins réfuté toute responsabilité du protocole central. « Les problèmes liés aux contrats intelligents des protocoles DeFi sont généralement très rares, voire inexistants. Il s’agit plutôt de dépendances tierces », a-t-il précisé. 

Techniquement, l’attaque a effectivement débuté par une usurpation d’adresse RPC ciblant les nœuds de vérification de LayerZero, et non par une faille dans Aave. Mais pour les analystes du Bank Policy Institute, ce cadrage occulte l’essentiel : la DeFi reste structurellement vulnérable aux paniques bancaires, au détriment de ses utilisateurs.

Aave V4, refondre l’architecture pour cloisonner le risque

Face à ces lacunes, Kulechov a annoncé une refonte profonde de la gestion des risques dans la prochaine mise à niveau V4. L’objectif central : empêcher qu’une future exploitation d’un bridge crypto ne contamine l’ensemble des réserves du protocole.

Le principe retenu est celui d’un système modulaire en étoile. Concrètement, ce système remplacerait l’architecture actuelle de pools mutualisés par des modules isolés, capables de prélever des primes de risque localisées et de geler des lignes de garantie spécifiques avant que la contagion n’atteigne les réserves principales. 

Avec un système entièrement auditable et public, n’importe qui peut examiner le code et effectuer différents types d’analyses de risques.

Par ailleurs, la question de l’assurance reste ouverte. Les analystes du Bank Policy Institute ont relevé que la couverture d’Aave s’est révélée insuffisante face à l’ampleur de la crise, un point que la V4 n’adresse pas directement dans les détails communiqués jusqu’ici.

Au final, l’épisode d’avril 2026 illustre la tension persistante entre le discours de résilience de la DeFi et ses vulnérabilités réelles. La ruée sur Aave, l’intervention humaine d’urgence, la dette irrécouvrable à neuf chiffres : ces éléments convergent pour rappeler que les protocoles décentralisés ne sont pas encore immunisés contre la panique bancaire classique. 

La V4 promet une architecture plus robuste, mais c’est son déploiement effectif, et sa résistance au prochain stress test, qui tranchera la question. En attendant, la DeFi institutionnelle continue d’observer. Pas encore convaincue.