Le principal protocole DeFi, Aave, perd son équipe de sécurité : qui sera en mesure de faire face au prochain cygne noir en période de marché baissier ?
TechFlow SélectionTechFlow Sélection
Le principal protocole DeFi, Aave, perd son équipe de sécurité : qui sera en mesure de faire face au prochain cygne noir en période de marché baissier ?
C’est en période de marché baissier que la gestion des risques est véritablement nécessaire.
Dédié à des analyses Web3 approfondiesAuteur : TechFlow
Le plus grand protocole de prêt DeFi traverse actuellement un départ silencieux de son équipe de sécurité.
Hier, une société nommée Chaos Labs a publié une lettre d’adieu annonçant la fin de sa collaboration avec Aave. La plupart des utilisateurs n’ont probablement jamais entendu parler de ce nom, mais au cours des trois dernières années, tous les taux de garantie, seuils de liquidation et paramètres de risque associés à chaque prêt ou emprunt effectué sur Aave ont été définis par cette entreprise.
Ils ont également développé un système automatisé appelé « Risk Oracle », capable d’ajuster en temps réel les paramètres en fonction des fluctuations du marché. Grâce à ce système, Aave est passé de quelques dizaines de marchés à plus de 250 marchés répartis sur 19 blockchains. Pendant trois ans, Chaos Labs a supervisé des pools représentant plusieurs centaines de milliards de dollars, sans aucun défaut de paiement.
En clair, bien qu’Aave repose sur des contrats intelligents, ce sont bien les experts de Chaos Labs qui déterminaient, dans ces contrats, les valeurs numériques critiques.
La lettre d’adieu rédigée par le PDG Omer Goldberg est rédigée avec beaucoup de tact, et ses réalisations y sont détaillées avec précision : le TVL (Total Value Locked) est passé de 5,2 milliards à plus de 26 milliards de dollars ; les dépôts cumulés dépassent 2,5 billions de dollars ; les liquidations ont dépassé 2 milliards de dollars…
Puis il déclare que c’est Chaos Labs qui a demandé, de manière proactive, la résiliation du contrat — personne ne les a licenciés, et le contrat n’était pas arrivé à échéance. Par ailleurs, Stani Kulechov, fondateur d’Aave, a répondu de façon très calme, indiquant que le protocole fonctionnait normalement et qu’un autre prestataire de services de gestion des risques, LlamaRisk, prendrait le relais.
À première vue, on pourrait croire qu’aucun événement notable ne s’est produit.
Pourtant, le départ volontaire d’une équipe de gestion des risques ayant assuré sans faille la sécurité d’un protocole pendant trois ans constitue, dans la finance traditionnelle, un signe avant-coureur inquiétant.
Dans sa déclaration, Goldberg précise que le désaccord ne porte pas sur les questions financières, mais sur une divergence fondamentale de vision quant à la gestion des risques.
Moins d’argent, plus de frustration
Pour tenter de retenir Chaos Labs, Aave Labs avait proposé d’augmenter le budget annuel alloué à l’entreprise de 3 millions à 5 millions de dollars. Malgré cela, Chaos Labs a décidé de partir.
Goldberg évoque trois motifs impératifs justifiant ce départ, mais une lecture attentive montre qu’ils convergent vers une même conclusion.
Le premier concerne l’argent. En 2025, le chiffre d’affaires annuel d’Aave s’élève à 142 millions de dollars, dont seulement 3 millions sont alloués à la gestion des risques — soit 2 % du total. Dans les banques traditionnelles, les budgets consacrés à la conformité et à la gestion des risques représentent généralement entre 6 % et 10 % du chiffre d’affaires.
Goldberg affirme avoir travaillé à perte pendant trois ans sur ce volet, et que même avec un budget porté à 5 millions de dollars, l’activité resterait déficitaire. Selon lui, le seuil minimal raisonnable serait de 8 millions de dollars. Or, la trésorerie d’Aave contient 140 millions de dollars, et Aave Labs vient juste d’approuver une proposition de financement de 50 millions de dollars — ce qui laisse penser que le protocole n’est pas à court de fonds, mais qu’il refuse simplement d’allouer une telle somme à son équipe de sécurité.
Le second motif concerne la charge de travail. Aave passe actuellement de la version V3 à la version V4, impliquant une refonte complète de son architecture sous-jacente, de ses contrats intelligents et de sa logique de liquidation. Goldberg précise que V4 et V3 ne partagent qu’un seul point commun : leur nom. Durant la période de transition, les deux versions devront fonctionner simultanément, ce qui ne réduit pas la charge de travail liée à la gestion des risques de moitié — elle double.
Le troisième motif concerne la responsabilité. Dans le domaine DeFi, la responsabilité légale des professionnels chargés de la gestion des risques n’est pas définie : il n’existe ni cadre réglementaire, ni clause de « safe harbor ». En période de bon fonctionnement, ils restent invisibles ; dès qu’un problème survient, ils sont les premiers à être tenus pour responsables. Goldberg le dit clairement : « Si le potentiel de gain est marginal, tandis que les pertes possibles sont illimitées, poursuivre cette activité constitue en soi une mauvaise décision en matière de gestion des risques. »
L’auteur de cet article juge difficile de réfuter cet argument. Un protocole générant un revenu annuel de 142 millions de dollars accorde à l’équipe responsable de la sécurité de plusieurs centaines de milliards de dollars un budget représentant seulement 2 % de ce chiffre d’affaires, tout en exigeant qu’elle assume une charge de travail doublée — et sans offrir aucune protection juridique en cas de problème.
Accepteriez-vous ce poste ?
Bien sûr, la version des faits fournie par l’autre partie diffère. Dans une publication sur X, Kulechov, fondateur d’Aave Labs, suggère que Chaos Labs réduisait déjà récemment ses activités de conseil en gestion des risques, et avait commencé à limiter ses collaborations avec d’autres protocoles.
Autrement dit, les motifs avancés dans la lettre d’adieu semblent davantage destinés à donner une apparence respectable à ce départ.
Que ce soit une divergence de vision ou une opportunité habilement saisie pour sortir discrètement, il est impossible pour un tiers d’en juger. Une chose, en revanche, est certaine : Chaos Labs n’est pas la seule entité à avoir quitté Aave.
Une tempête dans un contexte déjà orageux
Aave porte toujours son nom, mais l’équipe qui l’a construit s’est progressivement dispersée au cours des deux derniers mois.
En février de cette année, BGD Labs, l’équipe de développement central derrière Aave V3, a annoncé qu’elle ne renouvellerait pas son contrat. Fondée par Ernesto Boado, ancien CTO d’Aave, BGD Labs a conçu la majeure partie du code de V3, de son système de gouvernance et de ses déploiements interchaînes. Après quatre ans de collaboration, leur contrat est arrivé à échéance — et ils sont partis.
Leur explication est directe : Aave Labs concentre progressivement le pouvoir entre ses mains propres — le développement de V4, les actifs de marque et les comptes sociaux sont désormais entièrement contrôlés par Aave Labs. BGD Labs estime qu’elle n’a plus voix au chapitre dans la conception du protocole, tout en devant en assumer la responsabilité. Dans une entreprise traditionnelle, on qualifierait cela de « mise à l’écart ».
Un mois plus tard, ACI, le prestataire de services le plus actif au sein de l’écosystème de gouvernance d’Aave, a également annoncé son départ. Cette équipe de huit personnes a piloté 61 % des propositions de gouvernance d’Aave au cours des trois dernières années. Marc Zeller, son fondateur, écrit dans sa lettre d’adieu, de façon très claire, qu’Aave Labs peut faire adopter ses propres propositions budgétaires grâce à son propre pouvoir de vote, rendant ainsi obsolète le rôle des prestataires indépendants au sein de ce système.
Deux lettres d’adieu en deux mois : l’une évoque une mise à l’écart, l’autre dénonce des règles du jeu injustes.
En mars de cette année, un autre incident s’est produit.
Une erreur de configuration dans le système de gestion des risques mis en place par Chaos Labs a entraîné la liquidation erronée de positions représentant environ 27 millions de dollars, affectant au moins 34 utilisateurs. Chaos Labs affirme qu’aucun défaut de paiement n’a résulté de cet incident et que les utilisateurs concernés recevront une indemnisation.
Cet incident n’a donné lieu à aucune poursuite judiciaire, car dans l’écosystème DeFi, il n’existe aucune définition juridique claire de la responsabilité en cas de telles erreurs.
Pourtant, gérer des centaines de milliards de dollars implique qu’une simple erreur de paramétrage puisse engendrer des pertes de plusieurs millions de dollars — tandis que la protection juridique offerte est totalement inexistante. C’est précisément ce point que l’équipe de gestion des risques souligne à plusieurs reprises dans sa lettre d’adieu.
Ainsi, les quatre piliers qui soutenaient Aave à l’époque de V3 — développement, gouvernance, gestion des risques et croissance financière — se sont effondrés l’un après l’autre : les trois premiers ont disparu.
Dans leur lettre d’adieu, les membres de l’équipe de gestion des risques emploient une métaphore célèbre : celle du « navire de Thésée ». Si l’on remplace successivement toutes les planches d’un navire, reste-t-il le même navire ?
Le nom « Aave » subsiste, les contrats continuent de fonctionner, le TVL augmente encore. Mais l’équipe qui a écrit le code est partie, celle qui gérait la gouvernance est partie, celle qui supervisait les risques est partie. Les utilisateurs continuent d’effectuer leurs dépôts et leurs emprunts, sans nécessairement savoir que tous les éléments structurels du protocole ont été remplacés.
Ce qui rend cette situation particulièrement troublante, ce n’est pas tant le départ de ces équipes, que l’absence totale de répercussions apparentes.
Lorsqu’un utilisateur ouvre l’interface, il dépose ou emprunte des fonds comme d’habitude, les taux d’intérêt sont stables, les liquidations se déroulent normalement — tout semble fonctionner parfaitement. Sauf s’il consulte régulièrement le forum de gouvernance, la plupart des utilisateurs ignorent totalement ce qui s’est produit au cours des deux derniers mois.
À court terme, il se peut effectivement que rien ne change. Les contrats intelligents ne cessent pas de fonctionner parce que l’équipe de gestion des risques a quitté le projet, et les paramètres déjà définis ne changent pas spontanément. Aave dispose encore d’un prestataire alternatif, LlamaRisk — il n’est donc pas complètement « nu ».
Toutefois, la gestion des risques n’est pas un projet ponctuel. Définir des paramètres ne signifie pas qu’ils resteront adaptés à tout moment : les marchés évoluent, les actifs changent, et les techniques d’attaque sur les blockchains se perfectionnent constamment. Personne ne sait si la nouvelle équipe sera aussi réactive que la précédente en cas d’incident similaire.
Et ce n’est pas le moment idéal pour une telle transition.
Le cours de la cryptomonnaie AAVE a chuté de plus de 70 % depuis son sommet d’août dernier à 356 dollars, atteignant actuellement environ 96 dollars. L’ensemble du secteur des protocoles de prêt DeFi se contracte, l’activité sur les blockchains diminue, et les revenus des protocoles subissent une pression croissante.
En période haussière, la gestion des risques demeure invisible : personne n’applaudit le fait qu’« aucun incident ne se soit produit aujourd’hui ». En période baissière, en revanche, elle devient véritablement indispensable — car les prix des actifs connaissent des fluctuations violentes, la fréquence des liquidations augmente et la probabilité d’événements imprévus (« cygnes noirs ») s’accroît, précisément à un moment où l’expérience et la rapidité de réaction de l’équipe de gestion des risques sont mises à rude épreuve.
Or, c’est précisément à ce moment critique que les professionnels les plus expérimentés ont quitté le navire.
Dans leur lettre d’adieu, les membres de l’équipe de gestion des risques formulent une observation percutante : « Ce qui a permis à Aave de surpasser des concurrents plus agressifs, ce n’est pas la richesse de ses fonctionnalités, mais le fait qu’ils aient explosé alors qu’Aave est resté intact. Sur ce marché, survivre est le produit. »
Le problème actuel est le suivant : ceux qui ont permis à Aave de survivre pourraient bien ne plus être là.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
深潮TechFlow
