La DeFi promet liberté financière, transparence et des rendements que la finance traditionnelle ne peut pas offrir. Tout cela est vrai. Mais voilà ce que le battage médiatique oublie rarement de mentionner : depuis ses débuts, des milliards de dollars ont été perdus à cause de hacks, d'exploits et de fraudes pures.

Chez G12 Labs, nous croyons en une transparence totale. Cela signifie vous parler des risques, pas les enfouir dans des notes de bas de page. Si vous investissez en DeFi, vous devez comprendre exactement ce qui peut mal tourner. Parce que c'est déjà arrivé. À répétition.

Regardons les vrais dangers, illustrés par de vrais désastres.

Les plus grands hacks DeFi par montant volé
PROTOCOLE DÉROBÉ Ronin Bridge $625M Wormhole $320M Euler Finance $197M Mango Markets $114M Cream Finance $130M

Risque smart contract : le code fait loi (même quand il est buggé)

Les smart contracts sont la fondation de la DeFi. Ce sont des programmes qui exécutent automatiquement des transactions selon des règles prédéfinies. Sans intermédiaire, sans intervention humaine.

Le problème ? Le code peut avoir des bugs. Et en DeFi, un bug, c'est de l'argent qui disparaît.

Le hack du Ronin Bridge (mars 2022)

Ronin était le bridge blockchain qui alimentait Axie Infinity, un jeu crypto populaire. Des hackers ont compromis 5 des 9 clés de validateurs et vidé entièrement le bridge. Le détail qui fait froid dans le dos : personne ne s'en est aperçu pendant six jours. Plus d'un demi-milliard de dollars volatilisé avant que quiconque réalise qu'il se passait quelque chose.

L'exploit Wormhole (février 2022)

Wormhole, un bridge reliant Solana et Ethereum, présentait une vulnérabilité dans sa vérification de signatures. Un attaquant l'a exploitée pour frapper 120 000 ETH de toutes pièces sur Solana, puis retirer de vrais ETH du côté Ethereum. Exploitation pure du code, aucune ingénierie sociale nécessaire.

Le hack du DAO (juin 2016)

Le premier grand désastre de la DeFi. Une faille dans le smart contract du DAO a permis à un attaquant de drainer les fonds de façon récursive. Le hack était si sévère qu'il a conduit Ethereum à se scinder en deux chaînes (Ethereum et Ethereum Classic). Dix ans plus tard, il reste la mise en garde fondatrice de toute l'industrie.

Risque bridge : le maillon le plus faible

Les bridges relient différentes blockchains entre elles, permettant aux actifs de circuler. Indispensables à la DeFi multi-chain, ils sont devenus l'infrastructure la plus exploitée de l'espace.

Pourquoi ? Les bridges concentrent des montants colossaux d'actifs bloqués, un appât idéal pour les hackers. Et leur complexité crée bien plus de surface d'attaque que presque n'importe quel autre type de protocole.

Quelques exploits de bridges notables :

  • Ronin : $625M (mentionné ci-dessus)
  • Wormhole : $320M
  • Nomad : $190M (août 2022)
  • Harmony Horizon : $100M (juin 2022)

Au total, les hacks de bridges représentent plus de 2 milliards de dollars de pertes. Ce n'est pas une faute de frappe. Deux milliards de dollars.

Risque protocole : même les géants tombent

On pourrait croire que s'en tenir aux protocoles DeFi "blue-chip" garantit la sécurité. C'est un avantage, certes, mais même les plus grands noms ont connu des incidents.

Euler Finance (mars 2023)

Euler était un protocole de prêt respecté, audité plusieurs fois. Une attaque par flash loan a exploité une vulnérabilité dans son mécanisme de donation et de liquidation. Sophistiquée, dévastatrice, et sur un protocole que beaucoup considéraient sûr.

Le côté positif ? Le hacker a finalement restitué la majeure partie des fonds après négociation. Mais compter sur la conscience d'un hacker n'est pas une stratégie de gestion des risques.

Curve Finance (juillet 2023)

Curve est l'un des protocoles fondateurs de la DeFi, avec des milliards de TVL et des années d'exploitation. Une vulnérabilité dans le compilateur Vyper, pas même dans le code de Curve lui-même, a conduit à des attaques par reentrancy sur plusieurs pools. Même des protocoles éprouvés peuvent tomber à cause de bugs dans leurs dépendances.

Mango Markets (octobre 2022)

Celui-là était techniquement une exploitation "légale". Un trader a manipulé les prix d'oracle de Mango en prenant des positions massives, gonflé artificiellement la valeur de son collatéral, puis emprunté contre. Pas un bug dans le code, une faille de conception du mécanisme. L'attaquant a d'abord prétendu qu'il s'agissait d'un trading légitime. Les régulateurs n'étaient pas du même avis.

Rug pulls et arnaques à la sortie : ne faites confiance à personne

Toutes les pertes ne viennent pas de hackers extérieurs. Parfois, c'est l'équipe elle-même qui vole les fonds des utilisateurs.

Thodex (avril 2021) : 2 milliards de dollars envolés

Exchange crypto turc. Le PDG a disparu du jour au lendemain avec les fonds des utilisateurs. Deux milliards de dollars. Poof. Disparus. Les utilisateurs se sont réveillés face à un message de "maintenance" et n'ont jamais revu leur argent.

AnubisDAO (octobre 2021) : 60 millions de dollars volés

Lancé dans l'euphorie, il a levé 60 millions de dollars en quelques heures, avant que l'équipe anonyme ne draine le pool de liquidité et disparaisse. Le projet entier a existé moins de 24 heures avant le rug pull.

Squid Game Token (novembre 2021) : 3,3 millions de dollars volés

Surfant sur le buzz de la série Netflix, ce token a pompé de 45 000% avant que les développeurs ne retirent les liquidités et disparaissent. Le twist ? Le token était conçu pour que les détenteurs ne puissent qu'acheter, jamais vendre. Un honeypot classique.

Manipulation d'oracle : mentir aux smart contracts

Les oracles fournissent des données externes, comme les prix des actifs, aux smart contracts. Si vous manipulez l'oracle, vous pouvez tromper l'ensemble du protocole.

Cream Finance (octobre 2021) : 130 millions de dollars volés

Des attaquants ont manipulé l'oracle de prix d'un token peu connu, gonflé artificiellement sa valeur, l'ont utilisé comme collatéral pour emprunter des actifs réels, et ont vidé le protocole. Des flash loans ont rendu cela possible sans capital initial significatif.

Harvest Finance (octobre 2020) : 34 millions de dollars volés

Une attaque par flash loan a manipulé les prix des stablecoins dans les pools Curve, que Harvest utilisait comme référence de prix. L'attaquant a fait croire au protocole que les stablecoins étaient mal pricés, a exploité l'arbitrage et répété l'attaque plusieurs fois au sein d'une même transaction.

Risque réglementaire et de contrepartie : le facteur humain

Le code n'est pas le seul risque. Les humains et les gouvernements créent aussi des dangers.

Effondrement de FTX (novembre 2022) : 8 milliards de dollars de fonds utilisateurs manquants

Pas de la DeFi, mais la leçon s'applique directement : les entités centralisées peuvent s'effondrer de façon catastrophique. FTX utilisait les dépôts de ses clients pour financer des paris risqués dans sa société soeur. Quand la musique s'est arrêtée, des milliards avaient disparu. Le "deuxième plus grand exchange" est devenu la plus grande fraude de l'histoire de la crypto.

Celsius Network (juin 2022) : 4,7 milliards de dollars gelés

Une plateforme CeFi de prêt qui promettait des rendements élevés sur les dépôts. Dans les coulisses, l'entreprise prenait des risques massifs avec les fonds des utilisateurs. Quand le marché s'est retourné, elle a gelé les retraits. Les utilisateurs tentent encore de récupérer quelques centimes par dollar en procédure de faillite.

Perte impermanente : le tueur silencieux

Tous les risques DeFi n'impliquent pas des hackers. Parfois, vous perdez de l'argent simplement en participant aux mécanismes normaux du protocole.

De quoi s'agit-il ? Quand vous apportez de la liquidité à un pool de trading, les variations de prix peuvent vous laisser avec moins de valeur que si vous aviez simplement conservé les actifs. On l'appelle "impermanente" parce qu'elle s'inverse si les prix reviennent à leur niveau initial, mais c'est rarement le cas.

Exemple : vous déposez des montants équivalents d'ETH et d'USDC dans un pool. Le prix de l'ETH double. En raison du rééquilibrage des AMM, vous vous retrouvez avec plus d'USDC et moins d'ETH qu'au départ. Même avec les frais de trading, vous auriez peut-être mieux fait de simplement garder l'ETH.

Le yield farming n'est pas de l'argent gratuit. L'APY affiché ne tient souvent pas compte de la perte impermanente. Comprenez le mécanisme avant de courir après les hauts rendements.

Notre approche de la gestion des risques chez G12 Labs

Lire cette liste pourrait vous donner envie d'enterrer votre argent dans votre jardin. On comprend. Mais la DeFi n'est pas intrinsèquement irresponsable, elle exige simplement une gestion des risques rigoureuse.

Voici notre approche :

Uniquement des protocoles blue-chip. Nous utilisons Uniswap V3 et Aave V3, des protocoles avec des milliards de TVL, des années d'exploitation, de multiples audits et des bug bounties actifs. Nous ne courons pas après le rendement sur des plateformes non testées.

Une infrastructure éprouvée. Nos vaults fonctionnent sur Enzyme Finance, en activité depuis 2019 sans exploit majeur, audité par ChainSecurity, OpenZeppelin et Trail of Bits.

Aucun bridge. Nous opérons nativement sur Ethereum. Pas de bridging cross-chain des actifs du vault, donc aucun risque de bridge.

Gouvernance multi-sig. Personne ne peut accéder seul aux fonds. Les actions critiques requièrent 2 signatures sur 3 de notre équipe.

Levier conservateur. Maximum ~2x avec un suivi strict du facteur de santé. Nous préférons gagner 15% en sécurité plutôt que 50% à la légère.

Structure non-custodial. Vos tokens G12 sont dans votre portefeuille. Les smart contracts ne nous permettent littéralement pas de partir avec vos fonds.

Transparence totale. Chaque position, chaque transaction, chaque frais est vérifiable on-chain. Pas de boîte noire.

Est-ce que cela élimine le risque ? Non. La DeFi comporte toujours un risque. Mais cela le réduit considérablement par rapport à chasser des rendements sur des farms aléatoires ou faire confiance à des équipes anonymes.

Les questions à se poser avant d'investir

Avant de placer de l'argent dans un protocole DeFi, posez-vous ces questions :

  1. Depuis combien de temps est-il en activité ? Les nouveaux protocoles sont plus risqués. Nous préférons un historique d'au moins un an.
  2. Qui est derrière ? Les équipes anonymes sont un signal d'alarme. Les équipes connues ont davantage à perdre.
  3. Est-il audité ? Par qui ? Les audits ne sont pas parfaits, mais l'absence d'audit, c'est pire.
  4. Quelle est la TVL ? Une TVL élevée signifie plus de regards sur le code et plus d'enjeux en jeu.
  5. Est-il non-custodial ? Pouvez-vous vérifier vos fonds on-chain, ou faites-vous confiance à une base de données quelconque ?
  6. Est-ce que je comprends comment ça fonctionne ? Si vous n'êtes pas capable d'expliquer d'où vient le rendement, vous ne devriez probablement pas y investir.

En résumé

La DeFi est puissante, mais dangereuse. Des milliards ont été perdus à cause de hacks, d'exploits, d'arnaques et de mauvaises conceptions. Prétendre le contraire serait malhonnête.

Mais le risque n'est pas binaire. Il existe un spectre allant des paris spéculatifs façon casino à une gestion des risques de niveau professionnel. Savoir faire la différence et choisir en conséquence, c'est ce qui distingue les investisseurs DeFi qui réussissent des histoires dont on ne veut pas faire partie.

Nous avons construit G12 Labs pour nous positionner résolument du côté conservateur de ce spectre. Non pas parce que les stratégies à haut risque ne peuvent pas être rentables, mais parce qu'une richesse durable ne se construit pas en espérant ne pas se faire hacker.

Comprenez les risques. Choisissez votre exposition avec soin. Et n'investissez jamais plus que ce que vous pouvez vous permettre de perdre.