Hello 👋

Ici Caro, je t’écris un lundi matin, ce qui veut dire que j’ai déjà regardé le cours du Bitcoin avant de me brosser les dents. On ne se refait pas.

On est 78 000 à se retrouver ici chaque lundi. Bienvenue aux nouveaux, ravie de vous compter parmi nous.

🌤️ L’actu crypto de la semaine

Pendant que tu commençais à checker les promos vacances d’été, je suivais le marché crypto pour toi !

Le Bitcoin fait le yo-yo entre 75 000 et 77 000 dollars, coincé entre les tensions géopolitiques au Moyen-Orient et un Fear & Greed qui passe de 27 (peur) à 61 (avidité) selon l’humeur de la semaine. Côté institutions, les ETF Bitcoin continuent d’attirer (1,6 milliard de dollars d’entrées rien qu’en avril).

Mais ce n’est pas ça le sujet de la semaine. Le sujet de la semaine, c’est que samedi soir, 292 millions de dollars ont disparu en 46 minutes. Le plus gros hack DeFi de 2026.

Et personne ne te raconte vraiment ce qui s’est passé.

💸 292 millions qui s’évaporent (et ce que ça veut dire pour toi)

Temps de lecture : 7 min

Samedi, 19h35 heure de Paris. Quelqu’un a réussi à vider un “tuyau” qui relie plus de 20 blockchains entre elles.

En 46 minutes, 292 millions de dollars ont disparus.

D’après l’entreprise visée par l’attaque (qui a publié son analyse dimanche) et le FBI, le coupable serait un groupe qui s’appelle Lazarus. Une unité de hackers pilotée par le régime nord-coréen. Et d’après un rapport du Panel d’experts de l’ONU publié en 2024, l’argent que ce groupe vole sert à financer le programme balistique et nucléaire de Pyongyang. Le Wall Street Journal estimait en 2023 que ces hacks crypto couvraient environ la moitié du budget des missiles nord-coréens. Oui, tu lis bien.

Et c’est le plus gros hack crypto de 2026.

Jusque-là tu te dis peut-être : “ok, un hack de plus, c’est tous les mois. J’ai pas de Kelp DAO dans mon portefeuille, passons.”

Sauf que.

Cette histoire a fait tomber un géant de la DeFi. Aave, le plus gros protocole de prêt crypto au monde (20 milliards bloqués dedans), a perdu 6 milliards de valeur en quelques heures. Son token a chuté de 16%. Et si tu as déjà touché à la DeFi, il y a des chances qu’un des protocoles que tu utilises ait été gelé en cascade.

Alors prends 7 minutes, on décortique. Parce que ce qui s’est passé ce weekend, ça dit quelque chose d’important sur la DeFi en 2026 et sur un concept que tu as peut-être entendu sans jamais vraiment comprendre : le restaking.

C’est quoi Kelp DAO, et pourquoi tout le monde en parle ?

Kelp DAO, c’est ce qu’on appelle un protocole de “liquid restaking”. Le nom fait peur, mais l’idée est simple. Je vais te l’expliquer avec une histoire de locataires.

Imagine que tu possèdes un appartement à Paris. Première étape : tu le loues. Tu as un locataire, il te paie un loyer chaque mois tranquille.

C’est ça, le staking normal sur Ethereum. Tu “loues” tes ETH au réseau, il s’en sert pour valider les transactions, et en échange il te paie un rendement (autour de 3-4% par an), classique.

Maintenant imagine qu’un jour, quelqu’un vienne te dire : “Ton locataire, il bosse en journée. L’appart est vide de 9h à 19h. Pendant ces heures, je peux l’utiliser comme salle de coworking, et te payer un DEUXIÈME loyer en même temps.”

Ça te paraît louche ? Toi aussi tu trouves que ça semble trop beau pour être vrai non ? Pourtant, c’est ça, le restaking. Tes ETH sont déjà loués au réseau Ethereum. Mais des protocoles comme EigenLayer te disent : “File-moi ces mêmes ETH, je les utilise pour sécuriser d’autres projets en même temps, et tu gagnes un rendement supplémentaire.”

Deux revenus pour le même appart.

Kelp DAO, c’est le service qui te fait ça automatiquement. Tu dépose de l’ETH, il le met en staking, puis il le remet en restaking chez EigenLayer, et en échange il te donne un “reçu” qui s’appelle rsETH. Ce reçu, tu peux le garder, le vendre, ou (tiens-toi bien) l’utiliser encore ailleurs en DeFi pour te faire un TROISIÈME rendement.

C’est ce qui a rendu le restaking si populaire ces deux dernières années : certains utilisateurs empilaient 3, 4, 5 sources de rendement sur les mêmes ETH.

Tu vois où je veux en venir ? Plus tu empiles de locataires sur le même appart, plus tu es fragile. Si un seul refuse de payer, ta chaîne de revenus s’effondre.

Ce qui s’est passé samedi

Kelp ne vivait pas que sur Ethereum. Son fameux reçu (le rsETH) circulait aussi sur une vingtaine d’autres blockchains. Pour gérer ça, il fallait un coffre-fort central qui stocke les vrais rsETH pendant que des “copies” circulent ailleurs. En crypto, ce coffre-fort s’appelle un bridge.

Pense à un bureau de change international. Tu dépose des euros à Paris, on te remet des dollars à New York. Pour que ça marche, il faut quelqu’un qui transporte l’info entre les deux bureaux : un facteur qui dit “Caro a déposé 100 euros à Paris, donne-lui 100 dollars à New York.” Sans ce facteur, rien ne bouge.

Le facteur officiel de Kelp, c’est un service qui s’appelle LayerZero. Quand il dit qu’un message est authentique, le bridge exécute les yeux fermés.

Sauf que LayerZero avait prévenu Kelp plusieurs fois : “Ton système repose sur un seul facteur. Si quelqu’un l’intercepte, c’est game over. Il te faut plusieurs facteurs indépendants qui se valident entre eux.” Kelp n’a rien changé.

Samedi, les pirates ont attaqué en deux temps. D’abord, ils ont saturé le vrai facteur pendant une heure et demie en lui envoyant des milliers de faux appels pour qu’il soit incapable de faire son vrai travail. Pendant qu’il était débordé, un imitateur s’est mis à sa place et a envoyé un message au bridge : “116 500 rsETH ont été déposés, libère-les maintenant.”

Le bridge a fait confiance au faux facteur : il a ouvert le coffre. 292 millions de dollars sont partis vers des portefeuilles anonymes. En 46 minutes, c’était plié. Et pour brouiller les pistes, les logiciels des pirates se sont autodétruits juste après, effaçant les traces.

Ça c’est dit.

L’effet domino sur Aave

Et là, ça devient vraiment moche. Parce que Aave on peut le voir comme la grande banque en ligne de la DeFi, 20 milliards de dollars de dépôts dedans, acceptait le rsETH comme garantie pour emprunter de l’argent.

Explication rapide : dans la vraie vie, si tu veux emprunter 200 000 euros à la banque, tu peux mettre ta maison en garantie. Sur Aave, c’est pareil, sauf qu’à la place de ta maison tu déposes ta crypto. Tu déposes 100 000 euros d’ETH en garantie, tu peux emprunter 70 000 euros en stablecoins ou en autre crypto. Si tu ne rembourses pas, la banque saisit ta garantie. C’est un système de prêt sur gage, mais digital.

Maintenant rappelle-toi ce qu’est le rsETH : c’est un reçu qui te donne le droit de récupérer ton ETH déposé chez Kelp. Tant que le coffre-fort de Kelp contient bien tous les ETH correspondants, le reçu a de la valeur. Dès qu’il y a un trou dans le coffre, le reçu commence à valoir moins.

Tu vois où je veux en venir ?

Samedi, Kelp venait de se faire vider 18% de son coffre. Le rsETH qui circulait partout ailleurs n’était plus correctement backé. Sa valeur a chuté de 23% dans la journée, et Kelp a dû geler les échanges le temps de faire le point.

L’attaquant a exploité cette fenêtre. Il a pris du rsETH et est allé le déposer dans Aave avant qu’Aave n’ait pu mettre à jour le prix réel de ce rsETH. Aave l’a accepté à l’ancien prix, a prêté du vrai ETH en échange, et l’attaquant est parti avec l’ETH solide.

C’est comme si tu allais chez le prêteur sur gage avec en garantie les actions d’une boîte qui vient de se faire cambrioler il y a deux heures. Le prêteur, qui n’a pas encore vu les infos, accepte les actions au prix de ce matin et te file du cash. Le temps qu’il réalise que la boîte vient de perdre un cinquième de sa valeur, tu es déjà parti.

Résultat : Aave s’est retrouvée avec une garantie dont le prix s’effondrait et que les marchés venaient de geler, donc impossible à revendre normalement pour récupérer l’argent prêté. La crypto Aave a donc chuté de 16%. Les utilisateurs ont pris peur et ont massivement retiré leurs fonds : 6 milliards de dollars sortis d’Aave en quelques heures.

Attends, ça devient encore plus dingue. Ce même groupe Lazarus avait déjà vidé Drift Protocol (un autre gros service DeFi) le 1er avril pour 285 millions. Ça fait 575 millions de dollars en 18 jours. Une unité gouvernementale nord-coréenne a vidé plus de DeFi en deux semaines que la plupart des banques européennes ne bougent en un trimestre.

Ce que ça veut dire pour toi

Tu te dis peut-être : “Moi j’ai pas de rsETH, pas de Kelp, je suis tranquille.”

Peut-être. Mais voilà ce que cette histoire nous apprend, et ça te concerne directement si tu touches à la DeFi à un moment ou à un autre.

Le restaking, c’est génial sur le papier, mais ça empile les risques. Chaque protocole que tu utilises pour “optimiser” ton rendement ajoute une couche de confiance. Kelp a fait confiance à LayerZero. LayerZero a sous-traité la vérification à un seul validateur. Aave a fait confiance à Kelp. Toi, si tu avais mis des rsETH dans Aave, tu avais fait confiance à TOUT LE MONDE. Quand un maillon de la chaîne casse, tout s’effondre.

Les bridges sont encore le talon d’Achille de la crypto. Depuis 2021, plus de 2,5 milliards de dollars ont été volés à travers des bridges. C’est le point le plus vulnérable de l’écosystème, et pourtant c’est ce qui nous permet de faire circuler l’argent entre les différentes blockchains. On n’a pas encore trouvé comment rendre ça sûr à 100%.

Et Lazarus ne dort pas. On parle d’une unité gouvernementale qui finance un programme d’armes nucléaires avec tes ETH. C’est probablement la partie la moins médiatisée de la crypto, et pourtant l’une des plus vertigineuses. En 2024, ce groupe a volé plus de 1 milliard de dollars en crypto selon le FBI. Ils ne vont pas s’arrêter.

Mon avis

Moi, le restaking, je l’ai toujours regardé de loin. Parce que je n’ai jamais été à l’aise avec l’idée d’empiler des couches de risque sur un actif déjà volatile.

Quand mon ETH est en staking simple, je dors bien. Quand il est en staking + restaking + lending pool, je ne dors plus du tout. Et après 7 ans dans la crypto, je sais une chose : mon sommeil, c’est un indicateur de risque plus fiable que n’importe quel dashboard.

Tu sais ce que je dis toujours dans cette newsletter : ne fais pas des choses que tu ne comprends pas. Le restaking, avant cette semaine, il y avait probablement 80% des utilisateurs qui ne comprenaient pas à quoi ils s’exposaient. Ils voyaient juste “rendement x3” et ils fonçaient.

Mon approche en DeFi, c’est : je garde les choses simples. Je sais exactement où sont mes fonds, dans combien de protocoles ils passent, et quel est le pire scénario. Si je ne peux pas répondre à ces trois questions, je ne mets pas mon argent dedans. Voilà.

Et sur les bridges : je les utilise le moins possible. Je préfère payer 20$ de gas pour rester sur Ethereum Mainnet que de passer par un bridge pour économiser quelques dollars. Oui, c’est moins “optimisé”. Mais je ne me réveille pas le dimanche matin avec zéro sur mon wallet parce qu’un facteur cross-chain s’est fait voler sa sacoche.

La leçon à retenir

Si tu veux faire de la DeFi en 2026, pose-toi ces trois questions avant chaque dépôt. Je te jure que c’est simple :

D’abord : est-ce que je comprends vraiment comment ce protocole me fait gagner du rendement ? Si la réponse c’est “ben j’ai vu sur Twitter que ça rapportait”, passe ton chemin.

Ensuite : combien de fois est-ce que mon argent va être délégué à d’autres protocoles avant d’arriver à ma récompense ? Plus il y a de maillons, plus tu es fragile. Une règle que je me suis fixée : pas plus de deux niveaux de délégation.

Enfin : qu’est-ce qui se passe dans le pire scénario ? Si la réponse c’est “je perds tout en 46 minutes parce qu’un serveur en Corée du Nord a été allumé”, c’est peut-être trop.

La crypto en 2026, ce n’est plus la crypto de 2020. Les opportunités sont plus nombreuses, les rendements sont plus intéressants, mais les risques aussi sont plus sophistiqués.

Si cette histoire t’a donné envie de revenir aux bases, comprendre où sont tes fonds, comment les sécuriser, et construire un portefeuille crypto solide sans tomber dans les pièges qui ont piégé 292 millions ce weekend, j’ai écrit Le guide ultime pour investir en crypto en 2026. C’est gratuit.

Rappel : rien de ce que je te raconte ici n’est un conseil en investissement. Je partage mon expérience et mon analyse, fais toujours tes propres recherches.

À très vite dans ta boîte mail,

Bises, Caro