DeFi : hacks, rendements en berne et institutions qui redessinent les règles

La DeFi encaisse les coups et les institutions regardent. Pas toujours avec enthousiasme. Misha Putiatin, CEO de Statemind et cofondateur de Symbiotic, résume la situation avec une anecdote qui dit tout : cinq minutes avant un appel avec un grand établissement financier, un nouveau hack. "Is this normal? Is this every day for you ?" lui demande-t-on.

Ce n'était pas une question rhétorique. Début avril, le groupe nord-coréen Lazarus était impliqué dans l'exploit du protocole Drift — 285 millions de dollars siphonnés via une campagne de social engineering de plusieurs mois, infiltrés à une conférence crypto en présentiel. Quelques semaines plus tard, rebelote avec KelpDAO : 290 millions partis du bridge cross-chain du protocole. Résultat immédiat : la TVL de l'ensemble de la DeFi chute de près de 100 milliards à 86 milliards de dollars en deux jours. Selon des analystes de JPMorgan, même les pools sans exposition directe aux actifs compromis ont saigné.

Le problème de fond, c'est que la complexité du système a dépassé tout ce que le mantra "DYOR" pouvait promettre. Déposer de l'ETH pour toucher un yield sans jamais interagir avec d'autres tokens ? Ça ne suffit plus à vous isoler du risque. Un bridge compromis sur un actif que vous n'avez jamais touché peut quand même vider votre position. Putiatin est direct : "DYOR ne fonctionne plus. Ça n'a pas fonctionné depuis longtemps." Les smart contracts se comptent en dizaines de milliers de lignes, les protocoles s'empilent les uns sur les autres, et personne ne peut raisonnablement mapper l'intégralité des dépendances de risque. 7,76 milliards de dollars de pertes en exploits depuis 2016 selon DefiLlama — et les hacks ne ralentissent pas.

Côté rendements, la DeFi a aussi perdu de son argument massue. USDT rapporte 2,74% d'APY de supply sur Aave Ethereum, contre 3,57% sur un T-bill américain à trois mois. USDC s'en sort mieux à 4,14%, mais ça reste serré. Les institutions ne peuvent pas pricer précisément le risque de hack, donc elles dévaluent massivement les rendements proposés. Résultat : l'écart de rendement qui justifiait jadis le risque s'est largement évaporé. Pour Putiatin, le seul vrai signal d'un tournant serait l'émergence d'une assurance onchain capable de couvrir le risque de hack à l'échelle de l'écosystème avec une précision actuarielle. On n'y est clairement pas — les assureurs DeFi existants n'ont pas la capacité de backstopper quoi que ce soit à l'échelle institutionnelle.

La vraie menace n'est peut-être pas le prochain hack. Ce sont les conditions que les institutions vont imposer pour entrer : KYC complet, contrôles custodials, tokens freezables à la demande. L'architecture permissionless qui faisait l'intérêt de la DeFi se vide de sa substance pour satisfaire les exigences compliance. "La blockchain devient juste une base de données", dit Putiatin. Ce scénario-là, il le trouve plus inquiétant que les exploits eux-mêmes.