La DeFi est-elle pour autant dangereuse ? Les leaders du secteur réagissent après que le fondateur d'Openzeppelin a conseillé aux petits investisseurs de se retirer des valeurs sûres

Passer du drame aux données

Lorsque Manuel Aráoz, cofondateur et ancien directeur technique (CTO) d’Openzeppelin, a qualifié la finance décentralisée (DeFi) de totalement dangereuse, cela a ébranlé un secteur déjà secoué par une recrudescence des piratages. Soulignant cette vulnérabilité, une analyse récente de la société de sécurité blockchain Peckshield a révélé que les exploits de protocoles inter-chaînes avaient à eux seuls entraîné des pertes de 328,6 millions de dollars entre le début de l’année et la mi-mai.

Les avertissements viraux de M. Aráoz ont contraint Openzeppelin à se distancier publiquement de certaines de ses affirmations, mais ces remarques ont réussi à déclencher un débat houleux sur la sécurité de la DeFi. Pourtant, les critiques ont rejeté son langage dramatique, le qualifiant de tentative intéressée visant à semer la peur et la panique. D'autres, comme Leo Fan, fondateur de Cysic, estiment que ce cadrage sape la crédibilité d'un message qui repose sur un fondement réel.

« En l'enveloppant dans un « sortez de tout », on transforme un avertissement nécessaire en contenu alarmiste », a déclaré Fan. « On n'a pas besoin de drame pour faire bouger les gens dans ce domaine ; on a besoin de chiffres. » Michael Heinrich, cofondateur et PDG de 0G Labs, partage ce sentiment. Il souligne l'amélioration d'environ 98 % de la sécurité des prêts DeFi par rapport à son niveau de référence de 2020. M. Heinrich souligne également la réduction marquée des taux de perte quotidiens sur les principaux protocoles de prêt, qui s’établissent désormais autour de 0,001 %, comme un autre facteur qui contredit les commentaires de M. Aráoz selon lesquels « toute la DeFi est dangereuse ». « Conseiller aux particuliers de se retirer des valeurs sûres comme Aave et Maker ne correspond pas à la réalité ajustée au risque », a déclaré M. Heinrich à Bitcoin.com News.

Pour étayer son argumentation contre la DeFi, Aráoz a insisté sur le fait que les agents de codage basés sur l'intelligence artificielle (IA) sont désormais incroyablement avancés dans l'analyse des contrats intelligents open source et l'identification de failles exploitables complexes à la vitesse d'une machine. La menace posée par ces agents est si grande qu'il a conseillé en privé à ses amis et à sa famille de liquider complètement leurs positions dans les principaux protocoles DeFi « de premier ordre » établis de longue date.

La fin de l’audit statique

Cependant, Heinrich et Fan soutiennent que l'émergence d'attaquants IA surhumains ne signifie pas que les défenseurs doivent abandonner le navire. Au contraire, ils affirment que cela nécessite un changement fondamental dans la manière dont le secteur aborde la sécurité. « L'audit ponctuel est déjà mort ; les gens n'ont simplement pas encore organisé les funérailles », a déclaré Fan. Il a averti que passer entièrement des audits aux programmes de prime aux bogues était une mauvaise leçon à tirer. « On ne remplace pas la prévention par la surveillance — on comble le fossé qui les sépare. » Selon Heinrich, se fier à un audit annuel n’est plus une défense crédible. Au contraire, l’avenir de la sécurité des contrats intelligents repose sur un pipeline de défense multicouche fonctionnant à la vitesse des machines, où les audits servent de premier point de contrôle plutôt que d’événement ponctuel. Il a présenté une architecture de sécurité à quatre niveaux : des audits pré-déploiement assistés par l’IA et complétés par une révision humaine, une surveillance continue post-déploiement, des programmes de prime aux bogues dotés de moyens suffisants, et une IA vérifiable du côté des défenseurs. L’objectif ultime, a noté Heinrich, est d’intégrer une vérification formelle sur les chemins critiques — en utilisant des preuves mathématiques plutôt que des révisions subjectives — parallèlement à des révisions continues augmentées par l’IA, exécutées sur des contrats en production de la même manière que les attaquants opèrent.

« Les audits ne disparaîtront pas », a-t-il déclaré. « Ils deviendront le premier point de contrôle d’un pipeline de défense fonctionnant à la vitesse des machines. » Au-delà des pipelines de sécurité préventifs, la discussion sur l’atténuation des risques s’oriente inévitablement vers l’assurance, un élément fondamental qui, selon Heinrich, reste très sous-développé dans l’écosystème crypto. Selon lui, quelques obstacles structurels freinent le secteur de l’assurance décentralisée. Premièrement, les pools d’assurance immobilisent des capitaux qui pourraient autrement générer un rendement actif ailleurs dans la DeFi.

Pour illustrer ce point, Heinrich cite le leader du marché Nexus Mutual, qui détient environ 190 millions de dollars face à un marché DeFi plus large dont la valeur totale bloquée a fluctué entre 40 milliards et plus de 100 milliards de dollars. Heinrich note que ce ratio de capital est structurellement faible. Un autre obstacle consiste à définir ce qui constitue une exploitation on-chain, ce qu’il décrit comme un exercice non trivial.

Malgré ces obstacles, Heinrich soutient que l'imposition de mandats d'assurance à l'échelle des protocoles n'est pas le bon moyen de favoriser l'adoption. Au contraire, le secteur doit innover au niveau des produits. « Ce qui fait réellement la différence, ce sont les produits paramétriques sur la chaîne qui versent automatiquement des indemnités en réponse à des signaux vérifiables, et les protocoles qui intègrent l'assurance dans le produit, à l'instar du fonctionnement des frais de compensation sur les marchés traditionnels », a déclaré Heinrich.

Réglementer les opérations, pas seulement le code

Alors que le filet de sécurité actuel est restreint, la demande du marché s'accélère. Selon une prévision de Coinlaw datant de mars 2026, le marché de l'assurance décentralisée devrait être multiplié par près de cinq d'ici 2029.

« Les capitaux arrivent », a noté M. Heinrich. « Ce qui manque, c’est la gamme de produits pour les déployer. » L’évolution interne du secteur vers une défense à la vitesse des machines et des filets de sécurité automatisés soulève des questions plus larges concernant la surveillance réglementaire. Alors que les décideurs politiques examinent de plus en plus la sécurité des actifs numériques, M. Fan met en garde contre le risque que les régulateurs se concentrent excessivement sur les mauvaises menaces, telles que le spectre des systèmes d’IA malveillants.

« L'instinct réglementaire le plus avisé n'est pas de paniquer spécifiquement face aux attaquants utilisant l'IA », a déclaré Fan. « Il s'agit plutôt de se concentrer sur la couche opérationnelle où l'argent est réellement transféré : la conservation des clés, la gouvernance multisignature, la sécurité des ponts et la réponse aux incidents. »

Fan soutient qu’en appliquant des normes de sécurité opérationnelle strictes à ces vecteurs spécifiques, les organismes de surveillance pourraient éliminer la grande majorité des pertes de capital réelles. Se concentrer exclusivement sur le code des contrats intelligents tout en négligeant les opérations quotidiennes, a-t-il averti, revient à « réglementer les 10 % et passer à côté des 90 % ». De plus, Fan a mis en avant une primitive technique que les décideurs politiques sous-estiment systématiquement : la cryptographie avancée.

« Une preuve cryptographique, comme les preuves à divulgation nulle de connaissance, attestant du code qui a été exécuté et de son bon fonctionnement, constitue un élément de conformité bien plus efficace qu’un rapport d’audit au format PDF », a déclaré Fan. « Elle est vérifiable mathématiquement, et non par la confiance. C’est là que je voudrais que l’énergie réglementaire soit dirigée. »