Chaos Labs quitte Aave : crise de gouvernance et sécurité DeFi sous tension

📋 En bref (TL;DR)

  • Chaos Labs quitte Aave : après 3 ans et demi comme gestionnaire de risque principal, Chaos Labs met fin à sa collaboration, invoquant un « désalignement des risques » et un budget jugé insuffisant
  • Exode des contributeurs : BGD Labs (contributeur technique principal) et ACI (gouvernance) ont aussi claqué la porte — crise existentielle pour le plus gros protocole DeFi
  • Dispute budgétaire : Chaos Labs demandait 8 M$/an (5,6 % des revenus), Aave proposait 5 M$ — le protocole génère pourtant 142 M$ de revenus annuels
  • Hack Drift à 280 M$ : le plus gros hack DeFi de 2026, orchestré par la Corée du Nord après 6 mois d’infiltration par ingénierie sociale
  • Solana réagit avec STRIDE : programme de sécurité pour les protocoles DeFi, monitoring 24/7 pour les projets à plus de 10 M$ de TVL
  • DeFi sous tension : 501 M$ de pertes au Q1 2026, 145 incidents — la sécurité devient le sujet numéro un

Chaos Labs claque la porte d’Aave

Le 6 avril 2026, Chaos Labs a annoncé la fin de sa collaboration avec Aave, le plus grand protocole de prêt en finance décentralisée. Après trois ans et demi comme gestionnaire de risque principal, la société new-yorkaise invoque un « désalignement fondamental sur la manière dont le risque devrait être géré ».

Concrètement, c’est une histoire d’argent et de gouvernance. Chaos Labs estimait avoir besoin de 8 millions de dollars par an pour couvrir Aave V3, la nouvelle V4 et le go-to-market institutionnel. Aave proposait 5 millions. Pour un protocole qui génère 142 millions de dollars de revenus annuels, le différend porte sur à peine 2 % du chiffre d’affaires.

« Même avec une augmentation d’un million, nous opérerions la gestion de risque d’Aave avec des marges négatives », a déclaré Omer Goldberg, CEO de Chaos Labs. Le bilan de son équipe parlait pourtant de lui-même : zéro dette irrécouvrable en 3 ans, et une TVL passée de 5,2 à plus de 26 milliards de dollars sous leur supervision.

Un exode massif de contributeurs

Chaos Labs n’est pas un cas isolé. En quelques semaines, Aave a perdu ses trois piliers :

  • BGD Labs (contributeur technique principal depuis 4 ans) a quitté le 1er avril, reprochant à Aave Labs d’avoir poussé la V4 unilatéralement sans consultation.
  • ACI (Aave Chan Initiative), fondé par Marc Zeller pour la gouvernance, a fermé après avoir publié un audit accusant Aave Labs de self-voting et de manque de transparence sur un vote de financement de 51 millions de dollars.
  • Chaos Labs est le dernier à partir, laissant LlamaRisk comme seul gestionnaire de risque.

Stani Kulechov, fondateur d’Aave Labs, a confirmé une approche de « gestion de risque à deux couches » avec LlamaRisk et des équipes internes. Mais la transition soulève des inquiétudes : comme le résume Goldberg, « la continuité de marque n’est pas la continuité du système ».

Malgré cette crise, Aave conserve 62,8 % de parts de marché dans le lending DeFi et a franchi le cap du trillion de dollars de volume de prêts cumulés fin février 2026. La V4, avec son architecture hub-and-spoke, a été lancée le 30 mars.

Le hack Drift : 280 millions envolés en 12 minutes

Le 1er avril 2026, le protocole Drift sur Solana a été vidé de 280 millions de dollars en seulement 12 minutes — 31 transactions de retrait. C’est le plus gros hack DeFi de l’année, représentant 57 % des pertes totales du premier trimestre.

L’attaque est remarquable par sa sophistication. Pendant six mois, des agents liés au groupe nord-coréen UNC4736 se sont fait passer pour une firme de trading quantitatif. Ils ont rencontré des développeurs Drift lors de conférences, déposé plus d’un million de dollars sur la plateforme pour gagner leur confiance, puis compromis deux contributeurs :

  • L’un a cloné un dépôt de code piégé exploitant une vulnérabilité de VSCode/Cursor permettant l’exécution de code à l’ouverture d’un fichier.
  • L’autre a téléchargé une application via Apple TestFlight, présentée comme un wallet en bêta — contournant les contrôles de sécurité de l’App Store.

Les attaquants ont ensuite obtenu des signatures du Security Council de Drift (2 sur 5 nécessaires), les ont verrouillées dans des comptes « durable nonce » — une fonctionnalité Solana qui maintient les transactions valides indéfiniment — puis ont drainé les fonds. Facteur aggravant : Drift avait récemment supprimé le mécanisme de time-lock sur les transactions significatives.

« Six mois de mensonges et douze minutes de vol », résume un chercheur en sécurité. Les fonds, bridgés vers Ethereum via Wormhole, n’ont pas été récupérés.

Solana lance STRIDE pour sécuriser la DeFi

En réponse directe au hack Drift, la Solana Foundation a lancé le programme STRIDE le 7 avril 2026, dirigé par Asymmetric Research. Le programme évalue les protocoles DeFi selon 8 piliers de sécurité et propose :

  • Protocoles à +10 M$ de TVL : monitoring opérationnel 24/7 et surveillance active des menaces, financés par des grants.
  • Protocoles à +100 M$ de TVL : vérification formelle — une méthode mathématique vérifiant chaque chemin d’exécution possible dans un smart contract.

En parallèle, le Solana Incident Response Network (SIRN) regroupe Asymmetric Research, OtterSec, Neodyme, Squads et ZeroShadow pour une réponse en temps réel aux crises.

Toutefois, la Solana Foundation reconnaît une limite importante : ni STRIDE ni SIRN n’auraient empêché le hack Drift. L’attaque exploitait « le fossé entre la correction on-chain et la confiance humaine off-chain » — les transactions étaient techniquement valides et indiscernables d’opérations légitimes.

Un trimestre noir pour la sécurité DeFi

Le premier trimestre 2026 a enregistré 501 millions de dollars de pertes confirmées sur 145 incidents — dont Drift représente plus de la moitié. C’est le 18e vol crypto attribué à la Corée du Nord en 2026, portant le total des fonds dérobés par des acteurs nord-coréens à plus de 6,5 milliards de dollars.

Ces chiffres soulèvent une question fondamentale : la DeFi peut-elle tenir sa promesse de « finance sans intermédiaire » si la sécurité repose encore sur la confiance humaine ? Le départ de Chaos Labs d’Aave et le hack Drift illustrent deux facettes du même problème : les protocoles les mieux audités ne sont pas à l’abri, que ce soit d’une crise de gouvernance ou d’une attaque sociale sophistiquée.

📚 Glossaire

  • Aave : Plus grand protocole de prêt et d’emprunt décentralisé, avec plus de 60 % de parts de marché. Permet de prêter et emprunter des cryptos sans intermédiaire.
  • Chaos Labs : Société spécialisée dans la gestion de risque pour les protocoles DeFi. A levé 70 M$ et gérait les paramètres de risque d’Aave depuis 2022.
  • TVL (Total Value Locked) : Valeur totale des actifs déposés dans un protocole DeFi. Indicateur clé de la confiance et de l’adoption d’un protocole.
  • DeFi (Finance décentralisée) : Ensemble de services financiers (prêt, échange, épargne) fonctionnant sur blockchain sans banque ni intermédiaire centralisé.
  • Solana : Blockchain haute performance capable de traiter des milliers de transactions par seconde. Abrite de nombreux protocoles DeFi dont Drift.
  • Smart contract : Programme informatique auto-exécutable déployé sur une blockchain, qui applique automatiquement les termes d’un accord sans intermédiaire.

Questions fréquentes

Pourquoi Chaos Labs a-t-il quitté Aave ?

Chaos Labs invoque un désalignement sur la gestion des risques et un budget insuffisant. La société demandait 8 M$/an pour couvrir V3, V4 et l’expansion institutionnelle, mais Aave ne proposait que 5 M$ — alors que le protocole génère 142 M$ de revenus annuels.

Qui gère les risques d'Aave maintenant ?

LlamaRisk, le second fournisseur de risque déjà en place, prend le relais. Le fondateur d’Aave, Stani Kulechov, a confirmé une approche de gestion à deux couches combinant LlamaRisk et des équipes internes. Aave V4 a été lancée le 30 mars 2026.

Comment le hack Drift a-t-il été possible ?

Des agents nord-coréens ont infiltré l’écosystème Drift pendant 6 mois en se faisant passer pour une firme de trading. Ils ont compromis deux développeurs via un dépôt de code piégé et une fausse application, puis utilisé leurs accès pour signer des transactions de retrait techniquement valides.

Qu'est-ce que le programme STRIDE de Solana ?

STRIDE est un programme de sécurité lancé par la Solana Foundation après le hack Drift. Il propose un monitoring 24/7 pour les protocoles à plus de 10 M$ de TVL et une vérification formelle pour ceux à plus de 100 M$, ainsi qu’un réseau de réponse d’urgence (SIRN).

Mes fonds sont-ils en sécurité sur les protocoles DeFi ?

Le premier trimestre 2026 a vu 501 M$ de pertes sur 145 incidents. Aucun protocole n’est à l’abri, même les mieux audités. Pour limiter les risques : diversifier ses positions, privilégier les protocoles établis, ne jamais concentrer tous ses fonds au même endroit, et rester vigilant face à l’ingénierie sociale.

📰 Sources

Cet article s’appuie sur les sources suivantes :

  • The Defiant – Chaos Labs Terminates Aave Engagement Citing Risk Misalignment (6 avril 2026)
  • CoinDesk – Aave Loses Key Risk Manager Chaos Labs Amid Contributor Exodus
  • Fortune – Crypto hack sees thieves make off with $280M from Drift
  • CoinDesk – Solana Foundation Unveils STRIDE Security Overhaul

Comment citer cet article : Fibo Crypto. (2026). Chaos Labs quitte Aave : crise de gouvernance et sécurité DeFi sous tension. Consulté le 7 avril 2026 sur fibo-crypto.fr

La façon la plus simple d’acheter, échanger et gérer vos cryptos

Rejoignez les premiers utilisateurs et bénéficiez d’un accès prioritaire. Sans seed phrase, frais 3.5x plus bas, rendement DeFi intégré.

Rejoindre la waitlist →