L'approbation la plus coûteuse de l'histoire de la DeFi : 50 millions de dollars évaporés instantanément on-chain

Auteur : 137Labs

Le 12 mars, un investisseur anonyme de grande ampleur a lancé une transaction de grande envergure via l’interface frontale du protocole @aave : il tentait d’acheter des tokens de gouvernance AAVE pour environ 50,43 millions de dollars USDT. Cependant, en raison d’un glissement extrême, il n’a obtenu que 324 à 327 aEthAAVE d’une valeur d’environ 36 000 dollars US, subissant ainsi une perte instantanée de près de 50 millions de dollars. L’incident a rapidement fait le buzz sur X et dans les médias mainstream, devenant une histoire d’avertissement « d’humour noir » pour les utilisateurs de DeFi. Cet article, en retraçant étape par étape les données et la chronologie de l’événement, vous montre le prix d’une erreur d’un clic.

Rapport factuel de l’événement : chronologie et détails clés

Restons objectifs en reconstituant le déroulement complet de l’incident. Cette erreur s’est produite sur le protocole Aave V3 en mainnet Ethereum, qui est la plateforme de prêt décentralisée leader mondial, avec une TVL (valeur totale verrouillée) dépassant plusieurs centaines de milliards de dollars. L’utilisateur a effectué la transaction via l’interface officielle de #Aave, en utilisant CoW Protocol (un routeur d’ordres décentralisé).

La chronologie clé, basée sur les données on-chain et les déclarations officielles :

• Vers 12h45 UTC le 12 mars : l’utilisateur initie l’échange, en entrant 50,43 millions de dollars USDT (équivalent en aEthUSDT).
• 12h47 UTC : l’interface détecte que la taille de la commande dépasse largement la profondeur du pool, déclenchant plusieurs avertissements, indiquant « ordre exceptionnellement volumineux », « risque de glissement extrême », « confirmation manuelle requise ».
• 12h48 UTC : l’utilisateur coche la case de confirmation sur mobile et poursuit l’opération. La transaction est enregistrée sur la blockchain, et Etherscan montre qu’une partie de la perte a été capturée par un robot MEV (environ 9 à 10 millions de dollars de profit sur la différence de prix).
• Vers 13h30 UTC : Stani Kulechov publie un tweet pour clarifier, insistant sur le fait que le protocole et le routage CoW fonctionnent normalement, que l’utilisateur a accepté le risque, et annonçant qu’il contactera l’utilisateur pour lui rembourser 600 000 dollars de frais.
• Le matin du 13 mars : l’incident se répand sur Crypto Twitter et dans les médias principaux, avec plusieurs centaines de posts, et le volume d’échanges de AAVE augmente de 15% à 20% en 24 heures.

Au final, l’utilisateur n’a reçu que 327,2 AAVE (au prix actuel d’environ 111 dollars, soit une valeur d’environ 36 500 dollars), avec un taux de perte de 99,93%. Comparé aux liquidations de 27 millions de dollars lors du incident Mango Markets en 2022 ou à la récente erreur d’oracle d’Aave entraînant 27 millions de dollars de liquidations, cette erreur est purement une erreur d’exécution côté utilisateur, sans faille du protocole.

Ce chronogramme, basé sur les données on-chain et les déclarations officielles, montre que moins de 24 heures après la révélation de l’incident, le prix du token AAVE a connu une fluctuation passagère, mais a globalement augmenté de plus de 6%, témoignant de la confiance du marché dans le protocole qui n’a pas été gravement affectée.

Erreur opérationnelle de l’utilisateur et responsabilité : à qui la faute ?

Le débat central porte sur la responsabilité. Le principe fondamental de DeFi est « votre clé, votre portefeuille, votre responsabilité » — l’utilisateur a un contrôle total, mais doit aussi assumer toutes les conséquences. Ce « whale » a clairement commis une erreur élémentaire : il a ignoré l’avertissement évident de glissement, et a choisi d’effectuer une grosse transaction unique sur un actif peu liquide.

Cependant, certains critiques soulignent que le protocole et les agrégateurs (comme CoW) ne sont pas parfaits dans leur conception. L’interface de Aave comporte des avertissements, mais l’expérience mobile peut manquer d’intuitivité ; l’algorithme de routage de CoW n’a pas réussi à éviter efficacement le risque de pools peu profonds, ce qui a permis à la commande d’être « prise en sandwich ».

Stani Kulechov a répondu en insistant : « l’utilisateur a confirmé manuellement le risque, nous ne sommes pas des baby-sitters. »

Mais les opinions dans la communauté divergent : certains considèrent qu’il s’agit d’une erreur purement utilisateur, d’autres appellent à renforcer les mécanismes de protection obligatoires, comme une limite automatique de glissement ou une segmentation des grosses commandes.

En comparaison, des incidents similaires passés (comme la liquidation ratée de Mango Markets en 2022) ont souvent été imputés à une faille du protocole, alors que cette affaire ressemble davantage à une erreur humaine combinée à des limites systémiques.

Risques de liquidité et de glissement en DeFi, comment prévenir ?

Parlons d’abord du glissement : il désigne la différence de prix causée par l’exécution d’une grosse commande en raison d’un manque de liquidité.

Dans DeFi, les pools de liquidité (comme Uniswap ou les pools de prêt d’Aave) ne sont pas aussi profonds que les échanges centralisés — surtout pour des actifs dérivés comme aEthAAVE, dont la taille est limitée. Une commande de 50 millions de dollars équivaut à un « tsunami » pour un pool peu profond.

Si la commande dépasse la profondeur du pool, le prix peut s’effondrer instantanément. De plus, un bot MEV peut amplifier la perte en frontrunnant (devançant la transaction) ou en sandwichant (encadrant la transaction), pour capturer une partie de la valeur.

Comment prévenir cela ?

1. Fractionner la commande : la diviser en plusieurs petites transactions pour éviter un impact unique ;
2. Utiliser des ordres limités : fixer un prix maximum acceptable ;
3. Vérifier la profondeur du pool : via DefiLlama ou Dune Analytics ;
4. Favoriser les pools avec une grande liquidité : par exemple échanger directement contre ETH plutôt qu’une version encapsulée ;
5. Choisir un bon agrégateur : comme 1inch ou Paraswap, qui peuvent offrir de meilleurs routages.

MEV et arbitrage on-chain : le rôle invisible du « vampire » numérique

Dans cet incident, la perte n’est pas entièrement « évaporée » : environ 10 millions de dollars ont été capturés par un robot MEV. Le MEV (Maximal Extractable Value) est une zone grise de l’écosystème Ethereum : les mineurs ou validateurs peuvent réorganiser les transactions pour en extraire de la valeur. Dans ce cas précis, le bot a détecté une grosse commande, a acheté en avance des aEthAAVE pour faire monter le prix, puis a vendu après pour réaliser un profit.

Cela soulève la question de l’équité dans DeFi : les utilisateurs ordinaires sont facilement « chassés » par des bots professionnels. Les solutions incluent Flashbots (système d’enchères MEV) ou MEV-Share (partage des profits), mais elles sont encore imparfaites. Après l’incident, la communauté a appelé Aave à intégrer davantage d’outils anti-MEV pour protéger les gros traders.

La réputation d’Aave et la série d’incidents récents : un avertissement

Ce n’est pas la première crise pour Aave. Il y a quelques jours, une erreur de configuration de l’oracle wstETH d’Aave a entraîné 27 millions de dollars de liquidations excessives, suscitant la mécontentement des utilisateurs. Bien qu’Aave ait rapidement corrigé et indemnisé, cette nouvelle erreur met encore plus à l’épreuve sa réputation. La TVL d’Aave reste parmi les plus élevées en DeFi, mais ces incidents répétés révèlent des vulnérabilités potentielles dans la configuration des oracles, les paramètres de liquidation (CAPO) et la conception de l’UI.

Du côté positif, la réponse d’Aave a été efficace : transparence publique, remboursement partiel, ce qui a maintenu la confiance de la communauté. Comparé à des concurrents comme Compound, cela pourrait renforcer sa part de marché, mais si de tels incidents se répètent, l’adoption par des institutions (comme Anchorage Digital avec leur système de staking) pourrait ralentir.

//////////////////

Une seule clé, 50 millions envolés : cette affaire nous rappelle que dans le monde crypto, tout est transparent mais cruel. Le prochain « clic de confirmation » pourrait bien être sur votre écran. Souvenez-vous : avant de cliquer, regardez bien le avertissement.