Avant de deposer de l'argent dans un protocole DeFi, verifiez cinq choses : historique des audits, valeur totale bloquee (TVL), temps en production, transparence de l'equipe et structure de gouvernance. Un protocole audite par plusieurs firmes, avec plus de 100M$ en TVL, fonctionnant depuis 2+ ans sans exploits et avec une gouvernance transparente est significativement plus sur qu'un protocole manquant l'un de ces criteres.
Ce guide developpe ces cinq essentiels en une checklist complete de 10 points couvrant chaque dimension de la securite d'un protocole. Que vous evaluyiez un protocole blue-chip comme Aave ou une nouvelle ferme de rendement sur un L2, ces dix verifications s'appliquent universellement.
Si vous etes nouveau en finance decentralisee, commencez par notre guide sur qu'est-ce que la DeFi avant de plonger dans l'evaluation des protocoles.
La checklist en 10 points
| # | Verification | Quoi chercher | Signal d'alarme |
|---|---|---|---|
| 1 | Historique des audits | Multiples audits par des firmes reputees, rapports publics | "Audit en cours" ou audit par firme inconnue |
| 2 | TVL (Valeur Totale Bloquee) | >100M$ = confiance significative du marche | <1M$ avec promesses d'APY eleve |
| 3 | Temps en production | >2 ans en direct avec de l'argent reel | <3 mois d'anciennete |
| 4 | Contrats open-source | Code verifie sur Etherscan/Solscan | Code ferme / non verifie |
| 5 | Transparence de l'equipe | Fondateurs publiquement connus, entite juridique | Equipe anonyme + nouveau protocole + APY eleve |
| 6 | Programme de primes aux bugs | Prime active sur Immunefi, >100K$ | Pas de programme de primes |
| 7 | Structure de gouvernance | Multisig + timelock, ou vote DAO | Cle d'admin unique sans timelock |
| 8 | Historique des incidents | Bilan propre, ou reponse rapide + compensation | Exploits repetes sans postmortem |
| 9 | Qualite de la documentation | Docs clairs, complets et maintenus | Pas de docs, ou liens casses/obsoletes |
| 10 | Communaute et ecosysteme | Discord/forum actif, integrations, liste sur les agregateurs | Communaute fantome, pas d'integrations |
1. Historique des audits
Un audit de securite signifie qu'une firme independante a examine le code du contrat intelligent ligne par ligne. C'est la verification de securite la plus importante que vous puissiez effectuer.
Quoi chercher :
- Multiples audits de differentes firmes. Un audit c'est bien. Deux ou trois de firmes independantes (Trail of Bits, OpenZeppelin, Spearbit, Certik, Hacken) c'est bien mieux.
- Rapports publics. Les protocoles reputes publient leurs rapports complets d'audit.
- Couverture du perimetre. Verifiez que l'audit couvre les parties du protocole que vous utilisez.
- Actualite. Un audit d'il y a trois ans ne couvre pas les changements de code du mois dernier.
Signaux d'alarme : "Audit en cours" (il peut ne jamais arriver), audit par une firme inconnue d'une seule personne, ou "audite en interne". Pour plus d'infos, voir notre guide sur comment verifier les contrats intelligents.
2. TVL (Valeur Totale Bloquee)
Le TVL mesure combien d'argent les utilisateurs ont depose. Ce n'est pas une garantie de securite mais un signal fort de confiance du marche.
- >1 milliard $ TVL : Protocole majeur (Aave, Lido, Uniswap, MakerDAO).
- 100M$–1 milliard $ : Protocole etabli avec adoption significative.
- 10M$–100M$ : Niveau intermediaire. La diligence raisonnable est particulierement importante.
- <1M$ : Haut risque. Procedez avec une extreme prudence.
Ou verifier : DefiLlama est la reference pour les donnees de TVL.
Mise en garde : Le TVL seul ne suffit pas. Terra/Luna avait plus de 20 milliards $ en TVL avant son effondrement en mai 2022.
3. Temps en production
- >3 ans : Eprouve. A survecu a de multiples cycles de marche. Exemples : Aave (2020), Uniswap (2018), MakerDAO (2017).
- 1–3 ans : Raisonnablement etabli.
- 3–12 mois : Encore nouveau.
- <3 mois : Experimental. Les 90 premiers jours sont la periode la plus risquee.
4. Contrats open-source
Les contrats a code ferme sont eliminatoires. Si vous ne pouvez pas lire le code, vous faites entierement confiance a l'equipe.
Quoi verifier sur l'explorateur de blocs :
- Le contrat est-il marque "verifie" ?
- Y a-t-il des fonctions suspectes comme
transferOwnership,emergencyWithdrawouselfdestruct? - Qui controle le mecanisme de mise a jour en cas de pattern proxy ?
5. Transparence de l'equipe
- Equipe anonyme + nouveau protocole + APY eleve = risque maximum.
- Equipe connue avec des antecedents professionnels = plus de responsabilite.
- Entite juridique enregistree = encore plus de responsabilite.
6. Programme de primes aux bugs
- Les protocoles majeurs offrent des primes de 1M$+. Aave : 1M$. Uniswap : 2,25M$. MakerDAO : 10M$.
- Les protocoles intermediaires devraient offrir au moins 100K$.
- Pas de programme du tout est un facteur de risque.
Ou verifier : Immunefi.
7. Structure de gouvernance
Modeles de gouvernance, du plus sur au plus risque :
- Contrats immuables : Personne ne peut changer le code. Uniswap V2 et V3.
- Gouvernance DAO avec timelock : Vote communautaire + delai obligatoire. Aave et MakerDAO.
- Multisig avec timelock : Groupe de signataires de confiance avec delai.
- Multisig sans timelock : Plus risque — changements immediats.
- Cle d'admin unique : Le risque de gouvernance le plus eleve.
8. Historique des incidents
- Bonne reponse : Divulgation immediate, postmortem transparent, utilisateurs compenses, code corrige. Euler Finance : exploite pour 197M$, fonds recuperes, utilisateurs indemnises.
- Mauvaise reponse : Divulgation retardee, pas de compensation, equipe disparue.
Ou verifier : Rekt.news. Aussi notre rapport de securite crypto.
9. Qualite de la documentation
Quoi chercher : docs techniques, guides utilisateur, divulgations de risques, mises a jour regulieres, documentation API.
Signaux d'alarme : Pas de documentation, une seule page "deposez et gagnez 100% APY", liens casses, docs copies d'un autre protocole.
10. Communaute et ecosysteme
- Discord ou forum actif avec de vraies discussions.
- Integrations avec d'autres protocoles.
- Liste sur les agregateurs. DefiLlama, CoinGecko.
- Activite de developpement. Verifiez le GitHub du protocole.
Signaux d'alarme qui signifient "Fuyez"
- Promesses de >20% APY sur stablecoins sans source claire de rendement.
- Pas d'audit, ou "auto-audite."
- Equipe anonyme ET nouveau protocole ET APY eleve. Le profil classique du rug-pull.
- Retraits bloques ou frais de retrait >1%.
- Pas de timelock sur les fonctions d'admin.
- Contrat non verifie sur l'explorateur de blocs.
- Code forke sans modifications ni audits.
Signaux positifs — Signes d'un protocole fiable
- Multiples audits independants de firmes de premier plan.
- Actif sur plusieurs chaines.
- Prime aux bugs >100K$ sur Immunefi.
- Timelock sur les actions de gouvernance (delai 24-48h).
- Liste sur DefiLlama.
- Structure de frais transparente.
- Couverture d'assurance disponible.
- Verification formelle.
Comment verifier en pratique — Outils et etapes
Etape 1 : Verifiez le TVL
Allez sur DefiLlama. Verifiez le TVL actuel, la tendance sur 90 jours, les chaines de deploiement et les chutes soudaines de TVL.
Etape 2 : Verifiez les contrats sur l'explorateur de blocs
Utilisez Etherscan, Arbiscan, Solscan ou Basescan.
Etape 3 : Examinez l'activite sur GitHub
Frequence des commits, nombre de contributeurs, issues ouvertes, date du dernier commit.
Etape 4 : Verifiez le statut des primes aux bugs
Cherchez sur Immunefi.
Etape 5 : Verifiez l'historique des incidents
Cherchez sur Rekt.news et Twitter/X.
Etape 6 : Verifiez votre exposition apres le depot
Utilisez CleanSky pour scanner votre portefeuille : position, analyse de risque, concentration et approbations de tokens. Voir notre guide sur lire votre scan.
Exemples : Evaluation de protocoles reels
| Critere | Aave V3 | Uniswap V3 | Lido | Nouveau pret L2 | Ferme non auditee |
|---|---|---|---|---|---|
| Audits | 5+ audits | Multiples audits + verification formelle | 10+ audits | 1 audit de firme intermediaire | Aucun |
| TVL | >10 milliards $ | >4 milliards $ | >15 milliards $ | ~5M$ | ~200K$ |
| Temps en production | 5+ ans | 7+ ans | 4+ ans | 4 mois | 2 semaines |
| Open-source | Oui | Oui + verification formelle | Oui | Oui | Non |
| Equipe | Publique | Publique | Publique | Pseudonyme | Anonyme |
| Prime aux bugs | 1M$ | 2,25M$ | 2M$ | 10K$ | Aucune |
| Gouvernance | DAO + timelock | Core immuable | DAO + multisig + timelock | Multisig sans timelock | Cle d'admin unique |
| Evaluation | Tres sur | Tres sur | Tres sur | Risque modere | Extremement risque |
Le schema est clair. Les protocoles etablis passent toutes les verifications. Pour plus sur l'equilibrage des risques, voir notre guide sur comprendre le risque en DeFi.
Gestion pratique des risques
- Diversifiez entre protocoles. Repartissez sur 3-5 protocoles.
- Commencez petit. Deposez un petit montant test d'abord.
- Revoquez les approbations inutilisees. Utilisez CleanSky. Lisez notre guide sur la securite en crypto.
- Surveillez regulierement. Scannez avec CleanSky.
- Envisagez l'assurance. Nexus Mutual, InsurAce offrent une couverture a 2-5% par an.
Questions frequentes
Comment savoir si un contrat intelligent est sur ?
Verifiez si le code est verifie sur un explorateur de blocs. Cherchez des audits independants de firmes reputees. Un contrat open-source, audite par plusieurs firmes et fonctionnant depuis plus de deux ans est significativement plus fiable. Verifiez aussi la structure de gouvernance.
Que signifie "audite" pour un protocole DeFi ?
Un audit est un examen independant du code par une firme de securite. Ce n'est pas une garantie — c'est une reduction du risque. Multiples audits de differentes firmes offrent une meilleure assurance. Verifiez toujours que le rapport est public et couvre la version deployee.
Un TVL eleve est-il une garantie de securite ?
Non. Terra/Luna avait plus de 20 milliards $ en TVL avant de s'effondrer. Les protocoles a TVL eleve sont plus scrutines, mais le TVL seul ne suffit pas. Combinez avec l'historique des audits, la gouvernance et le temps en production.
Un protocole DeFi peut-il voler mon argent ?
Oui. Portes derobees, bugs, manipulation d'oracles, attaques de gouvernance. Un admin avec une seule cle et sans timelock peut modifier les parametres pour voler les depots. Utilisez la checklist de 10 points. Pour plus d'infos, lisez La DeFi est-elle sure ?
Ou puis-je verifier l'audit d'un protocole DeFi ?
Documentation officielle, GitHub, sites des firmes d'audit (Trail of Bits, OpenZeppelin, Spearbit, Certik, Hacken), DefiLlama et Immunefi. Si vous ne trouvez pas de rapport, traitez le protocole comme non audite.
Conclusion
Evaluer un protocole DeFi n'est pas complique mais demande de la discipline. La checklist de 10 points vous donne une facon systematique d'evaluer le risque. Aucun facteur seul ne suffit. L'objectif n'est pas le risque zero — c'est le risque informe.
Deja depose en DeFi ? Scannez votre portefeuille avec CleanSky pour voir votre exposition complete — positions, analyse de risque, concentration et approbations de tokens.