Peut-on perdre tout son argent en DeFi ?

Oui, il est possible de perdre la totalité de son argent en DeFi. Si le contrat intelligent (smart contract) détenant vos fonds est exploité, l'attaquant peut tout vider. Si vous fournissez de la liquidité et que le prix du jeton s'effondre, votre position peut devenir presque sans valeur. Si vous empruntez et que votre garantie est liquidée, vous perdez votre dépôt. La perte totale n'est pas un risque théorique — elle est arrivée à des milliers d'utilisateurs lors de multiples exploits de grande ampleur.

Combien d'argent a été perdu dans les hacks DeFi ?

Plus de 5 milliards de dollars ont été perdus dans des hacks et exploits DeFi depuis les débuts du secteur. Les incidents majeurs incluent le hack du Ronin Bridge (625 millions $), l'exploit du pont Wormhole (325 millions $) et le hack du pont Nomad (190 millions $). Ces chiffres n'incluent que les exploits signalés et ne tiennent pas compte des rug pulls, des escroqueries ou des pertes liées à la perte impermanente et aux liquidations.

Le prêt DeFi est-il sûr ?

Le prêt DeFi comporte des risques réels, même sur les plateformes établies. En tant que prêteur, vous faites face au risque de contrat intelligent (bugs de code) et au risque d'utilisation (si trop de personnes empruntent, vous pourriez ne pas pouvoir retirer immédiatement). En tant qu'emprunteur, vous faites face au risque de liquidation — si la valeur de votre garantie tombe en dessous du seuil requis, votre position est automatiquement vendue, souvent à perte. Les protocoles établis comme Aave ont de solides antécédents, mais aucun protocole n'est sans risque.

Qu'est-ce qu'un rug pull en DeFi ?

Un rug pull se produit lorsque les créateurs d'un projet DeFi vident délibérément la liquidité ou les fonds, laissant les utilisateurs avec des jetons sans valeur. Cela arrive généralement avec de nouveaux projets non audités. Le développeur crée un jeton, ajoute une liquidité initiale pour attirer les acheteurs, attend que le prix monte à mesure que les gens achètent, puis retire toute la liquidité et disparaît avec les fonds. Les détenteurs de jetons restants se retrouvent dans l'impossibilité de vendre.

Comment me protéger en DeFi ?

Pour réduire le risque DeFi : utilisez uniquement des protocoles bien établis et audités avec de longs antécédents ; commencez par de petites sommes avant d'engager des montants plus importants ; comprenez ce dans quoi vous déposez avant de le faire ; révoquez régulièrement les approbations de jetons dont vous n'avez plus besoin ; diversifiez sur plusieurs protocoles ; soyez sceptique face aux rendements extrêmement élevés (ils indiquent généralement un risque extrême) ; et ne déposez jamais l'intégralité de votre portefeuille dans un seul protocole.

Les rendements DeFi sont-ils trop beaux pour être vrais ?

Souvent, oui. Les rendements DeFi durables sur les protocoles établis varient généralement de 1 à 10 % d'APY. Lorsque vous voyez des rendements de 50 %, 100 % ou plus, le rendement s'accompagne presque toujours d'un risque proportionnellement plus élevé — inflation des jetons qui érode vos gains, perte impermanente, risque de contrat intelligent sur de nouveaux protocoles ou tokenomics non durables. Le principe fondamental s'applique : si le rendement semble trop élevé pour le risque, c'est probablement que vous ne voyez pas tout le risque.

Peut-on perdre de l'argent en DeFi ? 4 milliards de dollars disent que oui. Voici les 7 façons dont cela arrive.

1. Hacks de contrats intelligents (Smart Contracts)

Lorsque vous déposez des jetons dans un protocole DeFi, vos fonds sont détenus par un contrat intelligent — un programme s'exécutant sur une blockchain. Si ce code présente une vulnérabilité, un attaquant peut l'exploiter pour vider les fonds. Ce n'est pas théorique. Cela arrive plusieurs fois par an.

Exploits majeurs

Exploit	Date	Montant perdu	Ce qui s'est passé
Ronin Bridge	Mars 2022	625 millions $	Des attaquants ont compromis les clés des validateurs de la sidechain Ronin (Axie Infinity). Les fonds ont été vidés sur plusieurs transactions avant que quiconque ne s'en aperçoive.
Wormhole	Février 2022	325 millions $	Un bug dans le pont Wormhole a permis à un attaquant de frapper de l'ETH wrappé sur Solana sans déposer d'ETH réel.
Nomad Bridge	Août 2022	190 millions $	Une erreur de configuration a permis à n'importe qui de retirer des fonds. Des centaines de portefeuilles ont suivi une fois la vulnérabilité publique.
Euler Finance	Mars 2023	197 millions $	Une attaque par prêt flash (flash loan) a exploité une vulnérabilité dans le protocole de prêt. Les fonds ont ensuite été restitués par l'attaquant.
Mango Markets	Octobre 2022	114 millions $	Un attaquant a manipulé l'oracle de prix pour gonfler la valeur de sa garantie et emprunter contre celle-ci.

Ce ne sont que les exemples les plus importants. Des exploits plus petits se produisent régulièrement — parfois chaque semaine — dans tout l'écosystème DeFi. Même des protocoles ayant subi plusieurs audits ont été exploités. Les audits réduisent le risque mais ne l'éliminent pas.

2. Perte impermanente (Impermanent Loss)

Si vous fournissez de la liquidité à une plateforme d'échange décentralisée (comme un pool de liquidité), vous êtes exposé à la perte impermanente. Cela se produit lorsque le prix relatif des deux jetons de votre pool change. Plus le changement de prix est important, plus vous perdez de valeur par rapport au simple fait de détenir les jetons.

Le mot "impermanente" est trompeur. La perte devient permanente lorsque vous retirez votre liquidité. Et dans de nombreux cas, les frais de trading que vous gagnez ne compensent pas entièrement la perte, en particulier sur les paires volatiles.

3. Liquidation

Les protocoles de prêt DeFi vous permettent d'emprunter contre vos cryptos en guise de garantie (collatéral). Si la valeur de votre garantie tombe en dessous d'un certain seuil (le ratio de liquidation), le protocole vend automatiquement votre garantie pour rembourser le prêt. Vous perdez votre garantie et pouvez ne recevoir que peu ou rien en retour.

La liquidation peut survenir rapidement. Lors d'un krach boursier soudain, les prix peuvent chuter si vite que votre position est liquidée avant que vous n'ayez le temps d'ajouter de la garantie. Lors du krach de mai 2022, des centaines de millions de dollars de positions DeFi ont été liquidés en une seule journée.

Exemple : Vous déposez 10 000 $ d'ETH en garantie et empruntez 6 000 $ d'USDC. L'ETH chute de 40 %. Votre garantie ne vaut plus que 6 000 $ — au niveau ou en dessous du seuil de liquidation. Le protocole vend votre ETH pour rembourser le prêt. Vous vous retrouvez sans votre ETH et sans le montant total emprunté après frais. Ce qui a commencé comme une position de 10 000 $ peut vous laisser avec très peu.

4. Rug pulls

Un rug pull se produit lorsque les créateurs d'un projet DeFi vident délibérément les fonds. Le schéma typique :

Le développeur crée un nouveau jeton et ajoute une liquidité initiale sur un échange décentralisé.
Le projet fait l'objet d'un marketing agressif sur les réseaux sociaux, promettant des rendements élevés ou des fonctionnalités innovantes.
Les gens achètent le jeton, augmentant son prix et la taille du pool de liquidité.
Le développeur retire toute la liquidité, vend ses jetons et disparaît.
Les détenteurs de jetons restants ne peuvent plus vendre car il n'y a plus de liquidité. Leurs jetons ne valent plus rien.

Les rug pulls sont plus fréquents avec les projets flambant neufs et non audités. Ils sont particulièrement répandus parmi les memecoins et les jetons lancés sur des plateformes sans permission où n'importe qui peut créer un jeton en quelques minutes.

5. Effondrement du prix des jetons

De nombreux protocoles DeFi versent des rendements dans leur propre jeton de gouvernance ou de récompense. Si vous farmez un pool qui paie 200 % d'APY en "jeton XYZ", votre rendement réel dépend entièrement du prix de XYZ. Si XYZ chute de 95 % (ce qui est courant pour les jetons de farm avec des taux d'émission élevés), votre APY de 200 % en termes de jetons devient une perte significative en termes de dollars.

C'est l'un des risques les plus mal compris en DeFi. Un chiffre d'APY élevé signifie très peu si le jeton de récompense perd de la valeur plus vite que vous ne l'accumulez.

6. Événements de dé-pegging de stablecoins

Si votre position DeFi implique des stablecoins, vous courez le risque que le stablecoin perde sa parité (peg). L'exemple le plus catastrophique a été l'UST de Terra en mai 2022, qui est passé de 1 $ à presque zéro. Quiconque détenait de l'UST dans des protocoles DeFi — en le prêtant, en fournissant de la liquidité avec lui ou en l'utilisant comme garantie — a tout perdu.

Même des dé-peggings moins catastrophiques peuvent causer des dommages importants. Lorsque l'USDC est brièvement tombé à 0,87 $ pendant la crise de la Silicon Valley Bank, les pools de liquidité contenant de l'USDC ont subi des pertes soudaines, et les positions à effet de levier utilisant l'USDC comme garantie ont fait face à une pression de liquidation inattendue.

7. Manipulation d'oracles

Les protocoles DeFi s'appuient sur des flux de prix appelés oracles pour connaître la valeur des jetons. Si un attaquant peut manipuler l'oracle — en faussant temporairement les prix sur un échange à faible liquidité auquel l'oracle se réfère — il peut tromper le protocole sur le prix des actifs. Cela lui permet d'emprunter plus qu'il ne le devrait, de déclencher des liquidations injustes ou d'extraire de la valeur par d'autres moyens.

8. Exploits d'approbation (Approvals)

Lorsque vous interagissez avec un protocole DeFi, vous l'approuvez généralement pour dépenser vos jetons. Ces approbations accordent souvent une permission de dépense illimitée et persistent indéfiniment. Si le protocole est compromis plus tard — ou si vous avez accidentellement approuvé un contrat malveillant — l'attaquant peut vider tous les jetons que vous avez approuvés, même des mois ou des années plus tard.

C'est pourquoi l'examen et la révocation réguliers des approbations inutilisées sont l'une des habitudes de sécurité DeFi les plus importantes. Beaucoup de gens ont des dizaines d'approbations actives vers des contrats qu'ils n'utilisent plus et dont ils ne se souviennent peut-être même pas.

9. Hacks de ponts (Bridges)

Déplacer des jetons entre différentes blockchains nécessite des ponts — des protocoles qui verrouillent les jetons sur une chaîne et frappent des jetons équivalents sur une autre. Les ponts ont été la cible des plus grands hacks de l'histoire de la crypto (Ronin, Wormhole, Nomad). Si un pont est exploité après que vous avez transféré des jetons, vos jetons "bridgés" peuvent se retrouver sans contrepartie et sans valeur sur la chaîne de destination.

10. Frais de gaz rongeant les profits

Sur les réseaux avec des coûts de transaction élevés (en particulier le réseau principal Ethereum), les frais de gaz pour les transactions DeFi peuvent être substantiels. Déposer, réclamer des récompenses, composer les intérêts et retirer coûtent chacun du gaz. Si vous interagissez avec de petites sommes, ces coûts peuvent dépasser vos rendements.

Par exemple, si le gaz coûte 20 $ par transaction et que vous avez besoin de quatre transactions pour terminer un cycle de farming (approuver, déposer, réclamer, retirer), cela représente 80 $ de frais. Si votre position ne génère que 50 $ de rendement, vous avez perdu de l'argent après les frais de gaz, même si le protocole sous-jacent a parfaitement fonctionné.

Le tableau d'ensemble

Les pertes combinées dues aux exploits, hacks et escroqueries DeFi dépassent les 5 milliards de dollars dans les incidents signalés. Ce chiffre n'inclut pas :

Les pertes individuelles dues à la perte impermanente (impossibles à agréger)
Les pertes par liquidation (des milliards de plus)
Les effondrements de prix des jetons de farm et de gouvernance
Les frais de gaz érodant les petites positions
Les rug pulls et escroqueries non signalés

Le total réel est probablement plusieurs fois supérieur au chiffre rapporté.

Comment réduire (et non éliminer) le risque DeFi

Vous ne pouvez pas rendre la DeFi sans risque. Mais vous pouvez réduire considérablement votre exposition :

Utilisez des protocoles éprouvés. Des protocoles comme Aave et Uniswap détiennent des milliards de dollars depuis des années et ont survécu à plusieurs krachs boursiers. Cet historique compte. Il ne garantit pas la sécurité, mais c'est bien mieux que de faire confiance à un protocole lancé la semaine dernière.
Diversifiez entre les protocoles. Ne déposez pas tout dans un seul contrat. Si un protocole est exploité, vous ne perdez que la partie qui y est déposée.
Comprenez ce dans quoi vous déposez. Si vous ne pouvez pas expliquer comment un protocole génère son rendement, vous ne comprenez pas le risque que vous prenez. "Ça paie juste 80 % d'APY" n'est pas une compréhension suffisante.
Commencez petit. Testez avec une petite somme avant d'engager des montants plus importants. Assurez-vous de comprendre les mécanismes, les frais et le processus de retrait.
Révoquez les approbations inutilisées. Examinez et révoquez régulièrement les approbations de jetons pour les contrats que vous n'utilisez plus.
Soyez sceptique face aux rendements extrêmes. Les rendements DeFi durables sur les protocoles établis varient généralement de 1 à 10 % d'APY. Tout ce qui est radicalement plus élevé implique presque certainement un risque proportionnellement plus élevé.
Surveillez vos positions. Le statut des positions DeFi peut changer rapidement. Les ratios de garantie, la composition des pools et les taux de récompense peuvent varier en quelques heures.

Le compromis risque/rendement

La DeFi offre des capacités qui n'existent pas dans la finance traditionnelle : prêt sans permission, tenue de marché automatisée, stratégies de rendement programmables, et plus encore. Ces capacités s'accompagnent de risques qui n'existent pas non plus dans la finance traditionnelle.

Le principe fondamental est simple : un rendement plus élevé signifie presque toujours un risque plus élevé. Il n'y a pas de repas gratuit. Lorsqu'un protocole offre des rendements radicalement plus élevés que ses concurrents, la différence réside dans le risque — qu'il s'agisse du risque de contrat intelligent, de la perte impermanente, de l'inflation des jetons ou de tout autre chose.

Comment CleanSky vous aide : CleanSky fournit une analyse de risque multidimensionnelle pour vos positions DeFi, évaluant le risque de contrat intelligent, la volatilité, la liquidité, et plus encore. Il scanne également vos approbations de jetons pour signaler les permissions potentiellement dangereuses. Plutôt que de deviner votre exposition, vous pouvez voir exactement où vos risques sont concentrés et prendre des décisions éclairées.

Continuer à apprendre : Comprendre le risque en Crypto | Qu'est-ce que la perte impermanente ? | Rester en sécurité en Crypto | Les pools de liquidité expliqués | La DeFi expliquée

Analysez vos positions DeFi pour détecter les risques de contrats intelligents, l'exposition aux approbations et la concentration — avant que quelque chose ne tourne mal.

Essayer CleanSky gratuitement →