stacked markets
N

Stacked Markets

Risque lié aux smart contracts dans le trading DeFi : comment l'évaluer avant de déposer

Publié le 31 mai 2026 · Par Stacked Markets Research Team

Sommaire

  1. La question de l'audit est plus complexe qu'il n'y paraît
  2. Mise à jour : qui peut modifier le code après votre dépôt
  3. Dépendance aux oracles et risque de manipulation des prix
  4. Exposition aux bridges : la leçon des 292 M$ d'avril 2026
  5. Surface d'attaque de la gouvernance : le risque qui n'est pas dans le code
  6. Âge et TVL : ce qu'ils vous disent et ce qu'ils cachent
  7. Programmes de bug bounty et surveillance continue
  8. Où se trouvent réellement vos fonds dans la pile de garde
  9. Outils pour effectuer cette évaluation
  10. Ce que cette liste de contrôle peut et ne peut pas faire
  11. FAQ

Les quatre premiers mois de 2026 ont vu plus d'un milliard de dollars perdus dans la DeFi. Non pas à cause des mouvements de marché, mais à cause d'exploits, d'ingénierie sociale et de défaillances de protocoles. Deux des plus importants - l'exploit du bridge LayerZero de KelpDAO (292 M$) et le compromis Solana de Drift Protocol (285 M$) - n'étaient pas de simples piratages de code. Tous deux visaient les processus de gouvernance et la prise de décision humaine.

Cette distinction est plus importante que ce que la plupart des traders réalisent. La vérification standard avant dépôt est : "est-ce audité ?" Cette question est nécessaire, mais loin d'être suffisante. Le rapport de sécurité T1 2026 de Hacken a enregistré 482 M$ de pertes sur 44 incidents, avec une hausse de 213 % des pertes liées aux smart contracts sur un an. La surface d'attaque s'est élargie et les outils d'exploitation assistés par IA accélèrent le rythme.

Ce qui suit est un cadre de décision pour les traders actifs. Pas un guide de développeur. Huit points à évaluer avant de déposer des fonds dans un protocole DeFi, ainsi qu'un compte-rendu honnête de ce que cette évaluation peut et ne peut pas protéger.

La question de l'audit est plus complexe qu'il n'y paraît

"Audité par X" est le signal de sécurité le plus cité en DeFi. C'est aussi le plus mal interprété.

CertiK, Trail of Bits, OpenZeppelin et Spearbit sont des entreprises crédibles. Un audit de l'une d'entre elles est un signal significatif. CertiK contrôle à lui seul plus de 65 % de l'audit blockchain mondial, a sécurisé plus de 600 Md$ d'actifs et découvert plus de 180 000 vulnérabilités. Un audit provenant d'une firme inconnue, ou un audit auto-déclaré sans rapport public, ne vous dit presque rien.

Ce qui compte au-delà du nom de l'auditeur :

  • Âge de l'audit. Un audit de 2022 sur un contrat mis à jour depuis n'est pas un audit actuel. Le code révisé peut ne plus être celui en cours d'exécution.
  • Portée de l'audit. Certains audits ne couvrent que des modules spécifiques. Si l'intégration du bridge ou de l'oracle a été exclue, ces composants ne sont pas révisés.
  • Résultats et remédiation. Le rapport doit être public. Les vulnérabilités critiques ou sévères marquées "reconnues" plutôt que "corrigées" méritent une lecture attentive.
  • Ré-audit après mises à jour. Tout changement de code significatif doit déclencher une nouvelle revue. Si un protocole a été mis à jour il y a six mois sans suivi, considérez ces changements comme non audités.

Un audit, par une firme, à un instant T, rend un protocole un peu moins inconnu. C'est tout.

Mise à jour : qui peut modifier le code après votre dépôt

Les contrats proxy sont standards en DeFi. Ils permettent aux équipes de déployer des mises à jour sans forcer les traders à migrer leurs fonds - pratique, mais cela signifie que le code que vous avez examiné avant de déposer pourrait ne plus être celui de demain.

Les questions pertinentes :

  • Le contrat est-il modifiable ? Vérifiez sur Etherscan ou Arbiscan les modèles de proxy. La plupart des protocoles le mentionnent dans leur documentation.
  • Qui détient les clés d'administration ? Un EOA unique avec autorité de mise à jour est un point de défaillance unique. Un multisig 3-sur-5 est bien meilleur. Un 5-sur-9 avec des détenteurs de clés identifiés publiquement est encore mieux.
  • Existe-t-il un timelock ? Un timelock retarde toute mise à jour d'une fenêtre fixe (24h, 48h, 7 jours), donnant aux traders le temps de sortir avant qu'un changement malveillant ou accidentel ne prenne effet. Sans timelock, les changements peuvent être poussés instantanément.
  • Quel est le seuil de gouvernance ? Une gouvernance à faible quorum sans timelock est l'une des configurations les plus exploitables en DeFi. L'incident de Drift Protocol en avril 2026 l'a démontré : Lazarus Group a utilisé l'ingénierie sociale pour compromettre les signataires de la gouvernance et faire passer une proposition malveillante - pas un bug de contrat.

L'analyse de Travers Smith sur ces deux incidents est claire : il ne s'agissait pas de piratages au sens classique d'exploitation de code informatique. La gouvernance et la gestion des clés sont des surfaces d'attaque aussi réelles que n'importe quelle vulnérabilité Solidity.

Dépendance aux oracles et risque de manipulation des prix

La plupart des protocoles de trading DeFi s'appuient sur des flux de prix externes pour marquer les positions, déclencher les liquidations et régler le financement. Si l'oracle peut être manipulé, le protocole peut être vidé.

L'incident JELLY de Hyperliquid plus tôt en 2026 en est l'exemple récent le plus clair. Un marché à faible liquidité a été manipulé pour créer une divergence de prix artificielle, exposant le moteur de liquidation à des pertes. L'ensemble des validateurs de Hyperliquid est intervenu via la gouvernance, ce qui a résolu le problème immédiat, mais a aussi montré que la gouvernance on-chain peut agir plus vite que le marché en période de stress.

Ce qu'il faut évaluer :

  • Chainlink vs TWAP vs oracle interne. Le réseau décentralisé de Chainlink est plus difficile à manipuler qu'un TWAP on-chain unique, qu'un acteur bien financé peut déplacer sur une courte fenêtre. Les oracles internes contrôlés par l'équipe du protocole présentent le risque le plus élevé.
  • Surface de manipulation. Les marchés à faible liquidité avec des plafonds de levier élevés sont les plus vulnérables. Les actifs peu échangés avec des paramètres de levier agressifs augmentent considérablement le risque lié aux oracles.
  • Conception du moteur de liquidation. Comment le protocole réagit-il à une anomalie de flux de prix ? Existe-t-il un coupe-circuit ? Qui le contrôle ?

Exposition aux bridges : la leçon des 292 M$ d'avril 2026

Si un protocole vous demande de bridge des actifs depuis une autre chaîne, vous prenez un risque de bridge en plus du risque de protocole. Ce sont des surfaces d'attaque distinctes.

L'exploit LayerZero de KelpDAO le 19 avril 2026, attribué à Lazarus Group, a entraîné 292 M$ de pertes. LayerZero est l'un des protocoles de messagerie inter-chaînes les plus utilisés en DeFi. L'exploit a frappé l'infrastructure du bridge, pas les contrats principaux du protocole.

La distinction entre bridges canoniques et tiers est importante :

  • Les bridges canoniques (bridge natif d'Arbitrum, d'Optimism) sont maintenus par l'équipe principale de la chaîne et bénéficient de l'examen de sécurité le plus rigoureux. Ils sont plus lents, mais structurellement plus conservateurs.
  • Les bridges tiers offrent une finalité plus rapide et un support de chaînes plus large, mais introduisent une surface de smart contract supplémentaire et s'appuient souvent sur des validateurs externes ou des réseaux d'oracles.

Si le flux de dépôt d'un protocole passe par un bridge tiers, l'historique de sécurité de ce bridge fait partie de votre évaluation des risques. Vérifiez s'il a été audité, s'il dispose d'un bug bounty actif et s'il a un historique d'incidents documenté.

Surface d'attaque de la gouvernance : le risque qui n'est pas dans le code

L'exploit de Drift Protocol en avril 2026 a coûté 285 M$. Lazarus Group n'a pas trouvé de bug Solidity. Ils ont utilisé l'ingénierie sociale pour compromettre les signataires de la gouvernance et faire passer une proposition malveillante via un processus à faible quorum.

IOSG et ChainCatcher l'ont formulé directement : la DeFi a atteint son moment le plus dangereux - les vulnérabilités réelles ne sont pas dans le code.

Avant de déposer dans un protocole contrôlé par la gouvernance :

  • Qui sont les détenteurs de clés multisig ? Les équipes anonymes sans responsabilité publique présentent un risque plus élevé que les équipes doxxées ou les détenteurs de clés institutionnels connus.
  • Quel est le quorum de gouvernance ? Un protocole où 5 % de l'offre de jetons peut faire passer une proposition est structurellement plus vulnérable qu'un protocole nécessitant une participation de 20 %+.
  • Existe-t-il un mécanisme de pause d'urgence ? Et qui le contrôle ? Une fonction de pause détenue par une seule adresse est à double tranchant : elle peut arrêter un exploit ou être utilisée de manière malveillante.
  • Quel est l'historique de réponse aux incidents ? Une équipe qui a géré un incident précédent de manière transparente est plus crédible qu'une équipe qui n'a jamais été testée.

Âge et TVL : ce qu'ils vous disent et ce qu'ils cachent

Le temps passé sous le feu des critiques est le signal de sécurité le plus honnête en DeFi. Un contrat qui a détenu 500 M$ pendant 18 mois sans incident a été testé par de vrais adversaires ayant une réelle incitation financière à trouver des bugs. Ce n'est pas une garantie, mais c'est significatif.

La TVL n'est pas un signal de sécurité. Il est important de le dire clairement. Un protocole peut accumuler 2 Md$ en trois mois grâce à des programmes d'incitation tout en utilisant un code peu audité. Une TVL élevée augmente l'incitation financière pour les attaquants. Elle ne réduit en rien la surface d'attaque.

Les nouveaux déploiements méritent une attention particulière, quelle que soit la réputation de l'équipe. Les 90 premiers jours de la vie d'un nouveau protocole constituent la fenêtre la plus risquée. Si vous déposez dans quelque chose lancé le mois dernier, vous acceptez explicitement ce risque.

Programmes de bug bounty et surveillance continue

Un audit ponctuel est une photo. Les programmes de sécurité actifs sont continus.

Immunefi est la plateforme de bug bounty dominante pour la DeFi. Un protocole avec un programme actif, un paiement maximum significatif (six chiffres ou plus pour les vulnérabilités critiques) et un historique de paiements démontre un engagement continu envers la sécurité. Vérifiez les termes du programme - certains ont des exclusions de portée qui couvrent très peu de choses.

Les outils de surveillance on-chain en temps réel comme BlockSec Phalcon peuvent détecter des modèles de transactions anormaux et déclencher des réponses automatisées avant qu'un exploit complet ne vide un protocole. Il vaut la peine de vérifier dans la documentation de sécurité si un protocole a déployé ce type de surveillance.

L'historique de réponse aux incidents compte aussi. Un protocole qui a subi un exploit mineur, l'a divulgué publiquement, a indemnisé les traders affectés et a publié un post-mortem est plus digne de confiance qu'un protocole sans historique d'incidents ni infrastructure de transparence.

Où se trouvent réellement vos fonds dans la pile de garde

C'est la question que la plupart des traders sautent. C'est aussi celle qui détermine votre exposition en cas de problème au niveau du terminal ou de l'interface.

Trois niveaux de risque distincts :

  • L'interface front-end. Un front-end compromis peut afficher des invites de signature malveillantes. Si l'interface est custodial - c'est-à-dire qu'elle détient vos fonds ou vos clés - un compromis du front-end peut vider votre compte directement.
  • La couche protocole. C'est là que vivent les smart contracts. Les exploits ici peuvent vider les fonds mis en commun, quel que soit le front-end utilisé pour déposer.
  • La couche bridge. Si vous avez fait un bridge pour arriver là, ce bridge est une exposition distincte.

Stacked Markets achemine les ordres via le CLOB on-chain de Hyperliquid. Stacked détient zéro solde utilisateur et zéro clé de signature. Si le front-end de Stacked Markets était compromis, il ne pourrait pas vider vos fonds - car il ne les détient jamais. Votre marge se trouve dans le système on-chain de Hyperliquid, pas sur les serveurs de Stacked.

Cette limite structurelle est importante. Le risque au niveau du terminal est limité. Le risque au niveau du protocole est réel, et il incombe à Hyperliquid.

L'historique de Hyperliquid à ce niveau est l'évaluation pertinente : environ 70-75 % de part de marché des perp DEX en mai 2026, plus de 5 Md$ de volume quotidien, 7,3 Md$ d'intérêt ouvert sur plus de 150 marchés et une base de code éprouvée. L'incident JELLY a démontré à la fois une vulnérabilité et une réponse de gouvernance - rapide et décisive. Quoi qu'il en soit, c'est un historique documenté, pas une affirmation non testée.

Outils pour effectuer cette évaluation

Vous n'avez pas besoin de lire le Solidity pour effectuer la plupart de ces diligences :

  • Onglet sécurité de DeFiLlama - agrège l'historique des audits, des piratages et la TVL pour la plupart des protocoles majeurs. Commencez ici.
  • Vérification du code source Etherscan / Arbiscan - confirme si le code source du contrat est vérifié et lisible publiquement. Les contrats non vérifiés sont un arrêt immédiat.
  • Token Sniffer et analyseur de contrats DEXTools - utiles pour des drapeaux rouges rapides au niveau du contrat sur les nouveaux déploiements.
  • Base de données de bug bounty Immunefi - vérifiez si un protocole a un programme actif et à quoi ressemble la structure de paiement.
  • BlockSec Phalcon - surveillance on-chain en temps réel et simulation de transactions. Utile pour configurer des alertes sur les protocoles que vous utilisez activement.
  • Scores de sécurité DeFi Safety - évaluations de protocoles générées par la communauté. Un point de départ raisonnable, pas un verdict définitif.

Aucun outil unique ne vous donne une image complète. Utilisez-les ensemble.

Ce que cette liste de contrôle peut et ne peut pas faire

Parcourir ces huit critères avant de déposer réduit l'exposition inutile. Cela n'élimine pas le risque lié aux smart contracts.

Un contrat peut réussir tous les tests de cette liste et être quand même exploité par une faille zero-day qu'aucun auditeur n'a trouvée. Le cadre de Hacken dans son rapport 2026 tient toujours : un contrat sécurisé peut se trouver dans un protocole non sécurisé. Le risque d'oracle, de gouvernance et de bridge existe à des couches supérieures au code du contrat lui-même.

La position honnête : le trading DeFi implique le risque de smart contract comme une caractéristique structurelle, pas comme un cas marginal. La question n'est pas de savoir si le risque existe. C'est de savoir si vous avez fait le travail pour comprendre ce que vous acceptez - et si l'historique et l'architecture du protocole vous donnent une base raisonnable pour cette décision.

Déposer sans effectuer cette évaluation est un choix. Ce n'est juste pas un choix éclairé.

Entraînez-vous sur l'infrastructure de Hyperliquid sans risque sur le mainnet pendant que vous effectuez votre diligence. Le mode testnet de Stacked Markets exécute le terminal complet avec des badges réseau clairs.

stackedmarkets.com

FAQ

Qu'est-ce que le risque de smart contract dans le trading DeFi ?

Le risque de smart contract est la possibilité que le code régissant un protocole DeFi contienne des vulnérabilités - ou que l'infrastructure de gouvernance, d'oracle ou de bridge entourant ce code puisse être exploitée. Cela entraîne une perte de fonds déposés, indépendamment de vos décisions de trading.

Un audit signifie-t-il qu'un protocole DeFi est sûr ?

Non. Un audit est une revue ponctuelle d'un code spécifique par une firme spécifique. Il ne couvre pas les mises à jour ultérieures, les dépendances aux oracles, les intégrations de bridge ou les surfaces d'attaque de gouvernance. Plusieurs audits de firmes réputées réduisent le risque inconnu. Ils ne l'éliminent pas.

Quelle est la différence entre un exploit de code et un exploit de gouvernance ?

Un exploit de code trouve et abuse d'un bug dans la logique du smart contract. Un exploit de gouvernance manipule les processus humains ou de gestion des clés qui contrôlent le protocole - compromettant les signataires multisig ou poussant des propositions malveillantes via une gouvernance à faible quorum. Les deux entraînent une perte de fonds. L'incident de 285 M$ de Drift Protocol en avril 2026 était de ce dernier type.

Pourquoi le risque de bridge est-il important lors de l'évaluation d'un protocole DeFi ?

Si le dépôt nécessite de bridge des actifs depuis une autre chaîne, le bridge est un système de smart contract distinct avec sa propre surface d'attaque. L'exploit LayerZero de KelpDAO en avril 2026 a coûté 292 M$ et visait l'infrastructure du bridge, pas le protocole principal. Votre exposition inclut chaque contrat par lequel vos fonds passent.

Que vous dit la TVL sur la sécurité d'un protocole ?

Très peu. Une TVL élevée augmente l'incitation de l'attaquant mais ne réduit pas la surface d'attaque. Un protocole peut accumuler des milliards en dépôts via des programmes d'incitation tout en utilisant un code peu audité. Le temps passé sous le feu - combien de temps un protocole a détenu un capital significatif sans incident - est un signal bien plus significatif que la TVL seule.

En quoi un terminal non-custodial est-il différent d'un échange custodial en termes de risque de smart contract ?

Un terminal non-custodial comme Stacked Markets détient zéro solde utilisateur et zéro clé de signature. Si le front-end est compromis, il ne peut pas vider vos fonds car il ne les a jamais détenus. Votre exposition est au niveau du protocole - les contrats on-chain de Hyperliquid - pas au niveau du terminal. Un échange custodial détient vos fonds directement, donc un compromis du front-end ou du serveur peut entraîner une perte immédiate de fonds.

Quels outils dois-je utiliser pour évaluer la sécurité d'un protocole DeFi avant de déposer ?

Commencez par l'onglet sécurité de DeFiLlama pour l'historique des audits et des piratages, puis vérifiez le code source du contrat sur Etherscan ou Arbiscan. Vérifiez Immunefi pour un programme de bug bounty actif. Utilisez Token Sniffer ou DEXTools pour des drapeaux rapides au niveau du contrat sur les nouveaux déploiements. BlockSec Phalcon est utile pour des alertes de surveillance en temps réel sur les protocoles que vous utilisez activement. Aucun outil n'est suffisant seul - utilisez-les en combinaison.

Follow us
@stackedmarkets

Resources

All trading involves risk.

Perpetual futures use leverage. You can lose all collateral. Stackedmarkets does not custody funds or hold your main wallet keys. We do not provide investment advice. Nothing here is an offer to buy or sell. Trade only with capital you can afford to lose. Always verify testnet vs mainnet in the product chrome.

Stacked Markets is a decentralized perpetual futures trading platform. All trading activities are conducted on-chain and are subject to blockchain network conditions and smart contract risks.

Trading perpetual futures involves substantial risk of loss and is not suitable for all investors. Past performance is not indicative of future results. The high degree of leverage can work against you as well as for you. Before deciding to trade, you should carefully consider your investment objectives, level of experience, and risk appetite.

The information provided on this platform does not constitute investment advice, financial advice, trading advice, or any other sort of advice, and you should not treat any of the platform's content as such.

stacked markets

© 2026 Stacked Markets. All rights reserved.