Quand l’oracle se trompe : 27 millions liquidés sur Aave en 24h

juin 24, 2026
Léna Roussel
Ecris par Léna Roussel

Passionnée de maison et de voyage, j’adore partager des idées simples pour rendre le quotidien plus doux, ici comme ailleurs. Bienvenue chez moi — et sur les routes du monde !

Quand l’oracle se trompe : 27 millions liquidés sur Aave en 24h

Vous n’aviez rien fait de mal. Votre collatéral était sain, votre ratio d’emprunt parfaitement respectable — et pourtant, le 10 mars 2026, votre position s’est retrouvée liquidée de force. Tel est le destin kafkaïen de 34 utilisateurs d’Aave, victimes non pas du marché, mais d’un paramètre obsolète logé dans un smart contract. Les liquidations Aave wstETH oracle DeFi de ce jour-là se chiffrent à 27 millions de dollars en moins de 24 heures — une anomalie technique qui illustre, avec une clarté brutale, la fragilité des infrastructures sur lesquelles repose tout l’édifice de la finance décentralisée.

L’incident ne résulte d’aucune attaque, d’aucune manipulation de marché, d’aucun génie malveillant tapi dans l’ombre. Il résulte d’un décalage de 2,85 % entre deux nombres. La DeFi, c’est aussi cela : des milliards de dollars suspendus à la précision d’une configuration.

Pour comprendre comment cette mécanique peut se gripper, il faut d’abord saisir ce que font réellement les oracles — ces humbles facteurs du monde extérieur que l’on oublie quand tout va bien.

Les oracles, colonne vertébrale invisible de la DeFi

Dans l’écosystème de la finance décentralisée, les smart contracts sont aveugles par nature. Ils ne voient pas le cours du bitcoin sur Binance, ne connaissent pas le prix de l’ETH à cet instant précis. Pour opérer, ils ont besoin qu’on leur souffle ces données depuis l’extérieur.

C’est le rôle des oracles : des services qui injectent des données du monde réel — principalement des prix — dans la blockchain. Sur Aave, protocole de prêt leader de la DeFi avec plusieurs milliards de dollars de liquidités, ces oracles déterminent à chaque instant si la garantie d’un emprunteur est suffisante pour couvrir sa dette.

Le mécanisme est binaire dans sa logique : si la valeur du collatéral déposé tombe sous un seuil prédéfini par rapport à l’emprunt, la position est liquidée automatiquement. Pas de négociation, pas d’avertissement préalable — le code s’exécute.

💡 Astuce : Pour surveiller la santé de vos positions DeFi en temps réel, des tableaux de bord comme DeBank ou Aave’s own risk dashboard permettent de visualiser votre ratio de liquidation avant que l’oracle ne rende son verdict.

wstETH et CAPO : anatomie d’un dysfonctionnement

Le token qui s’apprécie naturellement

Le wstETH est un token émis par Lido, la principale plateforme de staking liquide sur Ethereum. Il représente de l’ETH mis en staking, et son particularisme est d’accumuler des récompenses au fil du temps : un wstETH vaut mécaniquement de plus en plus par rapport à un ETH classique. Le 10 mars 2026, le marché valorisait un wstETH à environ 1,228 ETH.

Ce comportement cumulatif pose un problème technique intéressant pour les protocoles de prêt : comment s’assurer que l’oracle reflète fidèlement cette appréciation graduelle, sans être vulnérable à une manipulation soudaine qui gonflerait artificiellement le prix du collatéral ?

CAPO, le garde-fou devenu trébuchet

Aave a répondu à ce risque en déployant le CAPO (Capped Price Oracle), un mécanisme conçu par son partenaire de gestion des risques Chaos Labs. Son principe : plafonner la vitesse d’appréciation affichée du token, pour empêcher toute manipulation à la hausse.

En temps normal, CAPO est une protection précieuse. Mais le 10 mars, le snapshot de référence utilisé par CAPO et son horodatage associé se sont désynchronisés. L’oracle affichait un taux de 1,1939 ETH par wstETH — soit 2,85 % en dessous du taux réel de marché (~1,228 ETH).

⚠️ Attention : Ce n’est pas l’oracle principal d’Aave qui était défaillant — celui-ci rapportait correctement les prix de marché. C’est spécifiquement la surcouche de risque CAPO qui présentait des paramètres obsolètes.

La cause technique est précise : un décalage entre des paramètres stockés en dur dans un smart contract — notamment un taux de change de référence et son horodatage — et la réalité du marché au moment de l’exécution. Chaos Labs a confirmé qu’il s’agissait de la première défaillance opérationnelle significative dans le déploiement de CAPO sur Aave V3.

34 victimes, 499 ETH de bonus pour les liquidateurs

Des positions saines liquidées de force

La conséquence est directe : pour les smart contracts d’Aave, le wstETH valait moins que ce que le marché indiquait. Des positions qui auraient dû rester intactes ont franchi les seuils de liquidation. Au total, 34 utilisateurs ont vu leurs positions fermées de force, représentant 10 938 wstETH liquidés.

Ces emprunteurs n’avaient commis aucune imprudence. Leurs ratios de collatéralisation étaient conformes aux règles du protocole, évalués au prix réel. C’est l’oracle qui mentait — par inadvertance, mais avec l’autorité absolue que lui confère le code.

Les bots de liquidation, opportunistes implacables

Dans l’écosystème DeFi, les liquidations ne sont pas exécutées par Aave lui-même, mais par des acteurs externes — souvent des bots automatisés — qui reçoivent un bonus en échange de leur intervention. Ce mécanisme d’incitation est conçu pour garantir que les positions sous-collatéralisées soient clôturées rapidement.

Le 10 mars, ces bots ont fait leur travail — avec une efficacité redoutable, sur des positions qui n’auraient jamais dû être liquidées. Résultat : environ 499 ETH capturés en bonus, soit approximativement 1,2 million de dollars, selon les données rapportées.

La réponse du protocole a été rapide. Via les mécanismes BuilderNet, 141,5 ETH ont pu être récupérés, auxquels s’ajoutent 13 ETH en frais de liquidation. Le reste des indemnisations — jusqu’à 345 ETH — sera couvert par la trésorerie de la DAO Aave.

📌 À retenir : Stani Kulechov, fondateur d’Aave, a confirmé qu’aucune bad debt (créance irrécouvrable) n’a été générée lors de cet incident. Tous les utilisateurs affectés seront intégralement remboursés.

Ce que cet incident révèle sur les risques opérationnels en DeFi

Le paradoxe de la protection qui blesse

L’ironie de la situation mérite d’être soulignée : c’est précisément le mécanisme de protection — CAPO, conçu pour prévenir les manipulations d’oracle — qui a déclenché les liquidations injustes. La garde-barrière est devenue le danger. Cette dialectique n’est pas nouvelle dans l’histoire des systèmes complexes, mais elle prend en DeFi une acuité particulière, puisque l’automatisation supprime tout filet de sécurité humain entre l’erreur et sa conséquence.

L’incident rappelle également celui de Moonwell, autre protocole de prêt DeFi, où une configuration incorrecte d’oracle avait brièvement évalué le cbETH (Coinbase Wrapped ETH) à environ 1 dollar au lieu de ~2 200 dollars, laissant le protocole avec près de 1,8 million de dollars de créances douteuses. La différence notable : dans le cas d’Aave, la solidité du protocole et la réactivité de l’équipe ont permis d’éviter les mauvaises dettes.

Trois niveaux de risque que l’incident met en évidence

Risque Nature Conséquence observée
Risque de configuration Paramètres obsolètes dans le smart contract Sous-évaluation de 2,85 % du wstETH
Risque d’automatisation Bots de liquidation sans discernement 499 ETH captés sur positions saines
Risque de gouvernance Délai de détection et de correction 34 utilisateurs liquidés avant intervention

Pour les protocoles comme Aave, qui gèrent des milliards de dollars de liquidités, l’enjeu n’est pas seulement technique. C’est une question de confiance institutionnelle. La dynamique du prix d’AAVE à 113 USD et ses signaux DeFi en hausse analysée en avril 2026 montre que le marché a relativement bien digéré l’incident — signe que la réponse transparente de l’équipe a joué un rôle.

La réponse de l’écosystème

Chaos Labs a annoncé un examen approfondi de tous les paramètres CAPO sur l’ensemble des marchés Aave, avec des annonces de gouvernance attendues. Cette revue systématique représente le type de réponse que la communauté DeFi attend d’un protocole mature : transparence sur la cause, identification des responsabilités, remédiation concrète, et prévention structurelle.

La finance décentralisée aime se présenter comme un système sans confiance (trustless). La vérité est plus nuancée : vous faites confiance au code, mais aussi à ceux qui le configurent, le maintiennent, et le corrigent quand il déraille. Cet incident de liquidations Aave wstETH oracle DeFi ne remet pas en cause le modèle — mais il rappelle que la décentralisation de l’exécution ne supprime pas la centralisation du risque opérationnel.

📌 À retenir : Un examen complet des paramètres CAPO sur tous les marchés Aave V3 est en cours. Les utilisateurs exposés à des assets de type yield-bearing (stETH, cbETH, rETH…) ont intérêt à surveiller les annonces de gouvernance de la DAO Aave dans les prochaines semaines.

Les 27 millions liquidés le 10 mars 2026 ne seront probablement pas les derniers de l’histoire d’Aave — ni de la DeFi. Mais la façon dont le protocole a géré la crise — zéro bad debt, remboursement intégral, transparence sur l’origine technique — dessine le standard auquel les protocoles de prêt décentralisés devront se conformer à mesure que leurs responsabilités envers leurs utilisateurs grandissent.

<!--PROTECTED_SCRIPT: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:SCRIPT_END-->

Voici d'autres articles qui pourraient vous intéresser :

Anthropic vs Pentagone : quand le refus de Claude déclenche une crise AMI Labs : Yann LeCun lève 1 milliard pour enseigner la réalité à l’IA iPhone 18 : ce que les fuites révèlent avant le lancement Apple Basketball.fun migre vers Base : un marketplace pour rebondir sans Tristan Thompson

La sonde Van Allen A de la NASA s’apprête à brûler dans l’atmosphère

Films nominés Oscars 2026 : où les voir en streaming maintenant

Si vous souhaitez nous joindre, rendez-vous sur notre page contact

Nous contacter

© 2026 hultrasimple.com

Politique de confidentialité Mentions légales Gestion des cookies