Risques, innovation, régulation et avenir de Web3
TechFlow SélectionTechFlow Sélection
Risques, innovation, régulation et avenir de Web3
Au point d'équilibre entre innovation et régulation, embrassons l'avenir du Web3.
Dédié à des analyses Web3 approfondies
0xScope✖️Metatrust Labs✖️Mask Network✖️FixDAO✖️0xScope : à partir du point de vue des acteurs de l'écosystème, maîtrisez les méthodes de contrôle, d'identification et de réponse aux risques du marché cryptographique, et embrassez l'avenir de Web3 grâce à un équilibre entre innovation et régulation.
Présentation des intervenants et modérateur
Modératrice :
- Evelyn @ScopeProtocol / @yangqianyi31;
Intervenants :
- Xueyue, Spécialiste en audit @MetaTrust Labs
- Xiaofei, Chercheur en sécurité @MetaTrust Labs
- Pinguis, Directeur juridique de FixDAO & Mask Network / @realpinguis:
- Luka, Chercheur chez 0xScope / @0xlukaL
Des risques du marché cryptographique qu'on ne peut ignorer : forte volatilité, effet de levier élevé, effets de contagion et transmission
Evelyn @0xScope :
Les répercussions de l'affaire FTX continuent silencieusement de s'étendre. Cela nous pousse à reconnaître sérieusement et à réfléchir sur une crise persistante dans le secteur financier cryptographique : si les risques élevés du monde crypto ne sont pas résolus à long terme, ils affecteront le développement du secteur, voire menaceront ses fondations mêmes.
Actuellement, la participation accrue des institutions financières traditionnelles pourrait stimuler davantage la croissance des actifs cryptographiques, tout en augmentant les risques pour la stabilité du système financier traditionnel. L'effet de richesse, l'exposition au risque du secteur financier et les paiements cryptographiques constituent autant de canaux reliant la finance traditionnelle au monde crypto. Leur ampleur et leur complexité augmentent, mais ces canaux manquent encore de mécanismes amortisseurs ou de dispositifs de blocage contre les risques. Ainsi, notamment en cas d'utilisation massive de l'effet de levier, les risques de stabilité nés dans le marché crypto peuvent rapidement se transmettre au système financier traditionnel.
Si nous souhaitons que cette tendance à la croissance et à l'intégration du marché se poursuive, l'industrie doit impérativement construire une infrastructure de gestion des risques financiers crypto. À ce jour, les principaux acteurs de l'écosystème ont accompli d'importants efforts pour réduire les risques du marché crypto et préserver la stabilité financière. Pour ce débat, nous avons invité MetaTrust (société d'audit de produits), 0xScope (plateforme d'analyse des données blockchain) et le département juridique de Mask Network afin d'aborder cette problématique sous différents angles, en présentant comment les nœuds clés du système Web3 absorbent et dissipent eux-mêmes les points de risque du marché.
Les risques financiers comprennent notamment :
-
Mécanisme produit : complexité des produits intégrant l'effet de levier
-
Manipulation du marché : manque de transparence et faible liquidité
-
Risque de crédit : vulnérabilités opérationnelles, malversations internes
-
Absence de cadre institutionnel : absence de procédure de plainte ou de mécanisme de recours garantissant droits et protections
-
Fraudes et activités malveillantes : blanchiment, cybercriminalité, piratage, rançongiciels
-
……
En réalité, les risques financiers résultent souvent de l’accumulation de facteurs multiples. Par exemple, bien que le mécanisme du produit fournisse les fonctions de base, c’est surtout la manière dont il est exploité selon sa logique métier qui devient la source directe des risques. Commençons donc par les unités fondamentales du marché financier crypto : le code et les produits.
Metatrust Labs : comment l’audit permet-il de réduire les risques du marché crypto au niveau du code et du mécanisme produit ?
Xiaofei@Metatrust
Bonjour à tous. MetaTrust fournit actuellement aux développeurs une chaîne complète d’outils SaaS sécurisés couvrant l’intégralité du cycle de développement logiciel (SDLC), incluant : la vérification conceptuelle lors de la phase de conception, le gestionnaire de paquets MetaTrust (MPM) durant le développement, MetaScan lors des tests, MetaScout en déploiement et exploitation, ainsi que l’évaluation globale de sécurité MetaCore. Parmi eux, MetaScan est notre produit phare, un outil SaaS automatisé d’audit de sécurité destiné aux développeurs de contrats intelligents. MetaTrust définit une norme complète de vulnérabilités de contrats intelligents, assurant une qualité comparable aux meilleurs services d’audit existants.
Grâce à sa chaîne d’outils de sécurité automatisée et à ses services d’audit intelligent du code, Metatrust Labs intègre la sécurité et la conformité dès les premières étapes du développement, effectuant des analyses approfondies et une protection dynamique multidimensionnelles, offrant ainsi continuellement un soutien sécurisé aux développeurs et équipes projets. Cette approche réduit considérablement les coûts et améliore significativement l’efficacité et l’efficience de la sécurité Web3.
Xueyue@MetatrustLabs
Au niveau du code et du mécanisme produit, nous recommandons aux applications existantes d’optimiser leurs conceptions suivant plusieurs axes afin de réduire les risques. Prenons l’exemple des applications DeFi : le plus critique réside dans la conception du modèle économique sous-jacent, particulièrement trois aspects :
Premièrement, concernant des vulnérabilités courantes comme les attaques de réentrée ou les problèmes de contrôle d’accès, nous conseillons vivement aux projets de réaliser des audits de code pour atténuer les risques, accompagnés d’un outil capable d’avertir instantanément les développeurs pendant le processus de développement. En effet, les audits manuels rencontrent de nombreux obstacles tels que délais longs, coordination difficile, etc. Un outil automatisé permettrait donc de réduire significativement les coûts temporels.
Deuxièmement, évitez d’utiliser les pools de liquidité comme source de prix pour les oracles. Notre équipe, après analyse des attaques DeFi historiques, a constaté que des dizaines d’incidents au cours des deux dernières années étaient dus à des manipulations de prix via des prêts flash. Dès lors, lorsque cela est possible, privilégiez des oracles hors chaîne comme Chainlink.
Bien sûr, la fiabilité de Chainlink doit aussi être surveillée. Même si Chainlink est généralement fiable, ses prix peuvent présenter un certain retard global. En cas d’événement « cygne noir », si votre application dépend d’un prix erroné générant un espace d’arbitrage lors de liquidations ou de mises en gage, cela pourrait provoquer des problèmes. C’était le cas lors de l’effondrement de Luna. Nous recommandons donc de croiser systématiquement les prix on-chain et off-chain, et de rester vigilant face à toute divergence ou fluctuation extrême.
Troisièmement, accordez une attention particulière à la conception du modèle économique du projet. Beaucoup de projets développent des logiques économiques complexes avec des comportements imbriqués, créant ainsi de nombreuses failles potentielles. Les attaquants peuvent exploiter cet imbriquement pour utiliser indirectement les fonds du projet afin de manipuler le pool de liquidité associé au jeton du projet, créant ainsi des opportunités d’arbitrage. Ce type d’attaque est très fréquent, avec de nombreux cas survenus ces deux dernières années.
Concernant les ponts inter-chaînes, sujet de sécurité le plus discuté cette année, les pertes financières sont souvent colossales, atteignant parfois des centaines de millions de dollars. Après enquête, nous constatons que les failles de sécurité des ponts inter-chaînes se divisent généralement en deux catégories :
La première concerne des vulnérabilités liées aux mécanismes de produit, telles que les signatures, listes noires/blanches ou autres problèmes de permissions, comme chez Wormhole ou Qubit Finance. Nous recommandons donc aux projets de concevoir des systèmes rigoureux de contrôle d’accès et de modélisation des rôles, et de faire vérifier minutieusement ces codes avant le lancement, par un organisme d’audit ou par les développeurs eux-mêmes.
La deuxième catégorie concerne des failles logiques, comme celles observées chez PolyNetwork ou NomadBridge. Ces problèmes diffèrent des vulnérabilités classiques dans DeFi car ils sont souvent dus à des erreurs humaines non catégorisables. Outre les audits manuels, nous recommandons de concevoir un mécanisme de cloisonnement des risques, en séparant fonctionnellement certains composants critiques. Pour les opérations sensibles comme les transferts, appliquez des vérifications spécifiques, des limites de montant, voire introduisez des validations automatisées hors chaîne ou manuelles.
Face à ces divers types de failles, l’outil MetaScan de MetaTrust offre aux développeurs une protection complète en sécurité full-stack, détectant automatiquement et en continu ces vulnérabilités — notamment celles liées aux modèles économiques ou aux manipulations de prix — réduisant ainsi l’exposition aux risques, tout en minimisant les coûts temporels liés aux audits manuels traditionnels dus aux fréquentes interactions et échanges.
L’outil central d’analyse MetaScan de MetaTrust comprend quatre moteurs principaux : analyse statique rapide du code, analyse formelle précise, analyse de la sécurité de la chaîne d’approvisionnement logicielle, et analyse d’empreintes IP. Ensemble, ils couvrent de manière exhaustive la sécurité du code. Grâce à l’intégration CI/CD, ils permettent une mise en œuvre continue et automatisée de la sécurité tout au long du cycle de développement, offrant aux ingénieurs un soutien complet et bouclé.
Q2 0xScope : comment identifier, surveiller et contrer les risques du marché via l’analyse des données blockchain ?
Luka@0xScope
Bonjour, je suis Luka, chercheur chez 0xScope. Je vais vous présenter brièvement, à travers nos travaux sur l’affaire FTX, comment utiliser exclusivement les données on-chain pour surveiller les risques potentiels de collapse d’un projet.
Premièrement, il faut identifier quels sont les risques présents sur le marché ; quels projets, entités ou comportements peuvent déclencher une réaction en chaîne.
Les événements « cygne noir » que nous avons observés cette dernière année peuvent être classés en plusieurs catégories.
La première concerne les risques liés au mécanisme même du projet, centrés sur les projets DeFi ou blockchains, tels que les structures pyramidales (Ponzi). Un exemple mineur est OlympusDAO et ses forks ; un cas plus marquant est l’effondrement de Luna en mai dernier. Pourquoi qualifier cela de Ponzi ? Car le cœur de l’écosystème Luna était le protocole Anchor sur Terra, offrant un rendement stable annuel de 20 %, attirant ainsi les utilisateurs à vendre leurs stablecoins ou autres jetons pour acheter UST. Au pic, Anchor avait accumulé 10 milliards de TVL, amplifiant exponentiellement son exposition au risque.
La deuxième catégorie concerne les risques opérationnels des institutions CeFi, notamment le détournement de fonds entraînant une crise de liquidité. Depuis juillet dernier, nous avons vu Three Arrows Capital imploser, suivi par FTX en novembre. Bien qu’ils gèrent principalement des transactions de jetons sur blockchain et conservent les actifs numériques des utilisateurs, leurs transferts internes et opérations restent opaques. Une fois que l’utilisateur confie ses fonds à une telle institution, il est presque impossible de savoir ce qu’elle en fait.
Deuxièmement, il faut comprendre où se situent précisément ces risques, ainsi que le mécanisme opérationnel de l’entité ou de l’écosystème.
Pour les projets Ponzi comme Luna ou OlympusDAO, il est possible de surveiller la liquidité des jetons. La majorité de leur liquidité se trouve sur des DEX on-chain, où les conditions de liquidité et les tendances de prix sont parfaitement visibles.
Pour les utilisateurs ordinaires, une approche plus accessible consiste à utiliser des outils pratiques pour surveiller directement les projets.
Dans le cas d’institutions CeFi, la surveillance dépend du type d’activité. Par exemple, pour une plateforme de prêt, chaque dépôt aboutit à une adresse spécifique, dont on peut suivre les flux. Pour les exchanges centralisés, les fonds versés sont généralement regroupés dans des portefeuilles chauds. En collectant ces adresses, on peut avoir une estimation globale des actifs de l’exchange.
À ce stade, l’essentiel consiste à analyser via les données blockchain les adresses des projets DeFi, blockchains ou institutions CeFi. Une fois l’adresse obtenue, il convient de l’analyser selon le modèle opérationnel propre à chaque entité, afin de comprendre ce que représentent les entrées et sorties. Sur ce plan, 0xScope et Watchers ont un avantage marqué :
(1) Identifier les adresses blockchain d’une institution est en soi une tâche ardue ;
(2) 0xScope dispose d’une capacité unique : à partir d’un ensemble d’adresses sources, notre algorithme de regroupement peut trouver toutes les adresses associées. Par exemple, à partir d’adresses publiques d’un exchange, nous pouvons découvrir d’autres adresses contrôlées par celui-ci. Cette base élargie permet ensuite d’extraire bien plus d’informations via l’analyse on-chain.
Troisièmement, une fois ces conditions préalables maîtrisées, il devient possible d’appliquer un meilleur contrôle des risques lorsque ceux-ci surviennent.
Il est crucial de connaître les signaux annonciateurs d’un risque, c’est-à-dire quels indicateurs doivent être surveillés.
Dans le cas de Luna, un indicateur clair était la liquidité de l’UST ; étant donné que Luna reposait entièrement sur un écosystème autour d’un stablecoin, il fallait surveiller attentivement la liquidité de ce stablecoin sur les principaux fournisseurs, notamment Curve.
Dans le cas de FTX, on peut examiner la position nette (total des fonds réels) de l’entité FTX sur la blockchain (ensemble des adresses chaudes), ainsi que ses flux entrants et sortants. Le Netflow permet d’évaluer la fuite progressive des actifs de la plateforme.
Globalement, ces trois étapes forment un cadre robuste de gestion des risques basé sur l’analyse des données blockchain. **Par ailleurs, grâce à une riche base de données d’adresses à risque et à notre technologie exclusive de regroupement d’adresses, 0xScope propose également des solutions KYC/AML, réduisant la probabilité d’activités malveillantes tout en étendant efficacement la couverture du contrôle des risques et en améliorant considérablement son efficacité.
Pinguis de Mask & FixDAO : comment récupérer légalement ses actifs lorsque ceux-ci subissent des pertes dues à un krach du marché ?
Pinguis@Mask network :
Je suis Pinguis, directeur juridique chez Mask Network et cofondateur de fixDAO.
Après l’effondrement de FTX, FixDAO a constaté une vague de panique s’étendre dans toute la communauté asiatique. Comme mentionné lors de la première audience de faillite de FTX, les utilisateurs asiatiques représentent une part importante de la clientèle mondiale. Pourtant, en raison de barrières linguistiques et géographiques, ils sont largement sous-représentés dans les instances judiciaires ou les soutiens juridiques. C’est pourquoi FixDAO a rassemblé une équipe composée d’élites cabinets d’avocats de Singapour, Corée du Sud, Japon, Hong Kong, Taïwan, Chine continentale et États-Unis, afin d’aider les utilisateurs d’Asie orientale à obtenir une place dans la procédure de faillite devant la cour du Delaware, protégeant ainsi mieux les petits et moyens investisseurs.
Revenons à FTX. Premièrement, examinons la nature juridique de la relation. Dans les conditions d’utilisation de FTX, il est clairement indiqué que les actifs déposés par les utilisateurs restent pleinement leurs propriétés, sans transfert de propriété à FTX. Si cela avait été respecté, la relation entre FTX et les utilisateurs aurait été celle d’un mandat : FTX agissant comme dépositaire des crypto-actifs. Dans ce cas, même en cas de faillite, les utilisateurs auraient dû pouvoir récupérer leurs biens avant le début de la procédure, car ces actifs n’appartiendraient pas à la masse saisissable. Malheureusement, FTX n’a pas respecté cette règle fondamentale. En détournant les fonds, elle a transformé la nature des actifs utilisateurs, qui sont devenus des créanciers non garantis. Or, ces derniers sont placés en fin de liste dans l’ordre de remboursement.
L’ordre de remboursement est le suivant : premier rang, les utilisateurs relevant d’une juridiction extérieure à la cour de faillite ; deuxième rang, les créanciers garantis ; troisième rang, les créanciers non garantis. Actuellement, FTX n’est pas en procédure de liquidation, mais en restructuration. Cela signifie qu’on ne vend pas forcément tous les actifs, mais qu’on cherche un accord entre FTX et ses créanciers pour un plan de remboursement. Les créanciers votent ce plan. Le comité des créanciers détient un grand pouvoir : il décide combien sera remboursé, quand, et à qui. L’objectif principal de FixDAO est donc de rassembler suffisamment de créances pour obtenir un siège au sein de ce comité, afin de superviser immédiatement la procédure, de réagir à tout événement, de voter activement, et ainsi protéger au maximum les utilisateurs asiatiques.
Quelles sont les autres voies légales de récupération ?
D’abord, on entre dans un état dit « alternative state », où légalement personne ne peut exiger de remboursement immédiat. Tout le monde attend que le plan de redistribution soit mis en œuvre. Durant cette période, toutes les transactions réalisées par FTX dans les 12 mois précédant son effondrement peuvent être annulées. La cour peut examiner tous les contrats signés et les transferts effectués, afin de vérifier leur légitimité et empêcher tout transfert frauduleux d’actifs juste avant la faillite. C’est une protection cruciale pour les créanciers.
Certains créanciers peuvent aussi renoncer à poursuivre FTX, ce qui permet de récupérer une partie des fonds. De même, certains investissements réalisés par FTX pourraient être récupérés. La cour vérifiera la légitimité de chaque transaction — une étape longue mais nécessaire.
Tous ces éléments combinés permettront de déterminer : combien FTX possède-t-elle réellement ? Une fois ce montant connu, on comptabilisera les créanciers, puis on définira le plan de remboursement — ce fameux plan de restructuration dont je parlais.
Comment anticiper les risques du marché et éviter les pertes dans les transactions quotidiennes ?
Xueyue@Metatrust :
Premièrement, certains événements « cygne noir » présentent souvent des signes avant-coureurs : chute brutale du prix d’un jeton, ou actualités inquiétantes, comme lors des cas FTX ou Luna. Ces événements déclenchent presque inévitablement des risques systémiques, impossibles à atténuer par une simple diversification. Un exemple typique est la crise des subprimes, liée à la détérioration de la liquidité et aux interconnexions entre institutions. Le DeFi reste exposé à ces risques.
Étant donné que le DeFi repose sur des cryptomonnaies, des facteurs externes peuvent nuire à la confiance des investisseurs et à la liquidité du marché. En cas de forte volatilité, de nombreux investisseurs vendront leurs actifs pour protéger leur capital, aggravant la baisse de liquidité et augmentant les risques systémiques.
Nous conseillons donc aux investisseurs de rester vigilants sur l’actualité et les prix. En cas d’anomalie, évaluez la sécurité de vos fonds et envisagez de les convertir en actifs moins exposés, comme des cryptomonnaies natives ou des stablecoins fiables.
Deuxièmement, dans vos interactions quotidiennes avec les projets, évitez d’accorder des autorisations trop facilement. Privilégiez les contrats dont le code est public et soutenus par de grands investisseurs. Informez-vous sur l’historique du projet et suivez son compte Twitter officiel.
Face à ces risques, nos outils MetaScore et MetaScout de MetaTrust surveillent et évaluent les sources d’information on-chain et les chutes de prix, offrant aux investisseurs des références fiables et autorisées pour éviter les pertes.
Luka@0xScope :
Concernant les transactions, du point de vue des données blockchain, deux éléments sont à surveiller. Pour les actifs majeurs comme BTC ou ETH, concentrez-vous sur les tendances macroéconomiques. Pour les jetons à faible capitalisation, observez deux aspects : la distribution des jetons (tokenomics) et les mouvements importants des « baleines ».
Risques, innovation, régulation et avenir de Web3
Eve@0xScope :
À mon avis, l’objectif de la régulation est de maintenir la stabilité du marché et de protéger les investisseurs, ce qui va dans le même sens que la stabilité des exchanges et la santé du secteur. Quelle est votre vision de la régulation future ? Comment influencera-t-elle vos activités ? Et rendra-t-elle vraiment le marché plus stable ?
Pinguis@Mask & FixDAO :
Actuellement, l’environnement Web3 est caractérisé par un retard massif des cadres réglementaires. Beaucoup pensent que la loi constitue la limite ultime, mais si l’on se contente de ne pas enfreindre la loi, on ne verra jamais l’avenir de Web3. Des améliorations sont nécessaires.
Xueyue@Metatrust :
Bien que le DeFi offre des opportunités d’investissement et de rentabilité, il pose de graves risques et défis aux régulateurs. Dans la finance centralisée, les services ou projets levant des fonds auprès d’investisseurs ont des obligations légales. Or, le DeFi en a très peu, et aucun cadre n’existe pour compenser les pertes des investisseurs en dehors des fluctuations de marché. Cela signifie que l’écosystème DeFi doit adopter des standards de comportement ou principes clairs, ainsi qu’un système pour les faire respecter. Le risque systémique est ici particulièrement crucial.
Comment réguler ? L’élément clé est de surveiller les interfaces entre projets. Une solution possible serait de normaliser les interfaces entre projets DeFi. Les contrats middleware pourraient réguler les interactions entre projets. Un système de liste noire devrait aussi exister pour signaler les projets DeFi dangereux et limiter leur appel, empêchant ainsi la circulation des fonds entre projets à risque.
Bien sûr, le problème n’est pas tant la mise en œuvre que l’objectif de la régulation. Dans une blockchain décentralisée, une régulation stricte du DeFi est irréaliste. Une régulation trop limitée peut aussi freiner son développement. Mais une régulation bien conçue renforcera la confiance des utilisateurs, favorisant ainsi la croissance.
Evelyn@0xScope :
L’innovation engendre souvent de nouvelles formes de risques. Il nous faut distinguer soigneusement les risques inhérents à des innovations valables, de ceux qui peuvent être évités grâce à des modèles plus flexibles, afin d’améliorer continuellement notre logique produit et notre mode opératoire.
Actuellement, dans un contexte réglementaire encore flou, la plupart des institutions s’appuient sur l’autorégulation tout en attendant les positions initiales des législateurs et régulateurs. En tant qu’acteurs en première ligne, nous devons contribuer activement aux débats mondiaux sur la législation et la régulation cryptographique, promouvoir un dialogue constructif, et façonner ensemble un environnement réglementaire équilibré : strict sur les fondamentaux, mais sans étouffer l’innovation, afin de véritablement favoriser un développement durable du secteur.
Dans cet épisode, nous avons adopté une approche macroscopique pour montrer comment les bâtisseurs du secteur maintiennent la stabilité du marché financier crypto — à travers la logique d’audit des produits, les mécanismes de contrôle des risques des exchanges, et l’analyse des données blockchain — en illustrant comment chaque nœud de l’écosystème absorbe et dissipe lui-même les points de risque du marché. Nous avons aussi présenté FixDAO et son rôle dans l’aide aux victimes de FTX. Nous espérons que cela vous aidera à comprendre les mécanismes de création, de propagation et de prévention des risques dans le marché crypto, ainsi que les relations entre innovation et régulation. Dans le prochain épisode, nous aborderons des conseils pratiques pour protéger vos actifs, restez à l’écoute.
To get involved
MetaTrust Labs :Site web | Twitter | Sécurité Web3 axée sur les développeurs.
Mask Network :Site web | Twitter | Discord | Telegram | La porte d’entrée vers un internet nouveau et ouvert.
FixDAO :Site web | Twitter | DAO à but non lucratif pour les victimes de FTX.
0xScope Protocol :Site web | Twitter | Discord | Telegram | Premier protocole de graphe de connaissances Web3
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@ScopeProtocol
