Chaos Labs se retire : qui assurera les risques d’Aave ?
TechFlow SélectionTechFlow Sélection
Chaos Labs se retire : qui assurera les risques d’Aave ?
Lorsque le contrôle des risques se retire, le socle de sécurité de la finance décentralisée (DeFi) est réévalué.
Dédié à des analyses Web3 approfondiesAuteur : Omer Goldberg
Traduction : Peggy, BlockBeats
Note de la rédaction : Chaos Labs a annoncé sa décision de mettre fin de façon proactive à sa collaboration en matière de gestion des risques avec Aave et de rechercher une résiliation anticipée de cette relation d’autorisation. En tant qu’équipe centrale ayant assuré, au cours des trois dernières années, la tarification et la gestion des risques pour tous les marchés Aave V2 et V3, son départ intervient à un moment critique, alors qu’Aave s’apprête à lancer sa refonte architecturale V4 et à étendre son activité vers le secteur institutionnel.
Dans sa déclaration, Chaos Labs souligne que cette décision ne résulte pas d’un désaccord budgétaire à court terme, mais d’un écart fondamental entre les deux parties quant à la question essentielle suivante : « Comment les risques doivent-ils être gérés ? ». À mesure que des contributeurs clés quittent le projet, que la complexité du système augmente et que la refonte architecturale V4 s’engage, les responsabilités et les coûts liés à la gestion des risques se sont considérablement accrus — sans que les ressources allouées ni la hiérarchisation des priorités n’aient été ajustées en conséquence.
L’article met par ailleurs en lumière le fait que, dans le contexte où la finance décentralisée (DeFi) attire progressivement les capitaux institutionnels, l’historique de gestion des risques est devenu l’« actif d’accès » le plus crucial. Lorsqu’un protocole doit simultanément intégrer des structures systémiques plus complexes et répondre à des exigences réglementaires plus strictes, la gestion des risques cesse d’être uniquement une question technique : elle devient une capacité fondamentale déterminant sa pérennité opérationnelle.
À l’entrée de la DeFi dans sa prochaine phase, où faut-il placer la gestion des risques, et l’industrie est-elle prête à en assumer le coût correspondant ?
Voici le texte original :
Depuis novembre 2022, Chaos Labs a procédé à la tarification de chaque prêt lancé sur Aave et a assumé la gestion des risques pour l’ensemble des marchés Aave V2 et V3 sur toutes les blockchains concernées, sans aucun défaut de crédit ayant eu un impact significatif.
Durant cette période, la valeur totale verrouillée (TVL) d’Aave est passée de 5,2 milliards de dollars à plus de 26 milliards de dollars ; le montant cumulé des dépôts a dépassé 2,5 billions de dollars, tandis que plus de 2 milliards de dollars ont été liquidés.
Aujourd’hui, nous avons décidé de mettre fin de façon proactive à cette relation d’autorisation et de rechercher sa résiliation anticipée.
Cette décision n’a pas été prise à la hâte. Nous avons toujours collaboré de bonne foi avec les contributeurs du DAO, et Aave Labs a maintenu un comportement professionnel tout au long de ce processus, augmentant même le budget alloué à notre mission à hauteur de 5 millions de dollars afin de nous retenir. Pourtant, nous avons choisi de partir, car cette collaboration ne correspond plus à notre vision fondamentale de « la manière dont les risques doivent être gérés ».
Bien que des divergences subsistent entre nos deux parties quant à la trajectoire future, je crois fermement qu’Aave Labs agit selon ce qu’elle juge être la voie la plus favorable à Aave.
Pourquoi nous quittons Aave
Au cours des trois dernières années, nous avons accompagné Aave à travers plusieurs crises de marché — des moments qui ont mis à l’épreuve presque chacun des paramètres que nous avions définis ainsi que chaque modèle d’apprentissage automatique que nous avions développé.
À notre arrivée, la dépense nette annuelle du DAO était de –35 millions de dollars ; il y a quelques mois, son pic avait atteint 150 millions de dollars. Durant cette période, nous avons effectivement éprouvé une grande fierté en tant que contributeurs centraux.
Personne ne renonce facilement à une telle expérience. Par souci de transparence — et dans l’espoir d’offrir une référence utile au DAO pour l’avenir — nous exposons ici les motifs de notre départ.
L’argent peut résoudre bien des problèmes, mais pas tous. Le problème plus profond réside dans un désaccord structurel entre les deux parties sur la question fondamentale de « la manière dont les risques doivent être gérés ». Ce désaccord s’est progressivement précisé au fil des discussions portant sur la trajectoire future.
En dernière analyse, ce désaccord repose sur trois points clés :
— Le départ de contributeurs clés d’Aave a considérablement accru la charge de travail et les risques opérationnels ;
— Le lancement de V4 élargit le champ de la fonction de gestion des risques, augmentant les responsabilités opérationnelles et juridiques, tandis que son architecture n’a pas été conçue par nous et ne correspond pas à celle que nous aurions adoptée ;
— Au cours des trois dernières années, nous avons assumé la gestion des risques pour Aave en état de déficit. Même avec une augmentation budgétaire de 1 million de dollars, l’activité resterait globalement déficitaire.
Cela ne laisse que deux options, aucune des deux n’étant acceptable pour nous :
— Faire de notre mieux malgré des ressources insuffisantes, sans pouvoir atteindre les normes de gestion des risques attendues d’une « application DeFi mondiale leader » ;
— Continuer à subventionner, sur nos propres fonds, les opérations de gestion des risques d’Aave, en supportant durablement des pertes.
Même si la question budgétaire était réglée, le désaccord persistant entre les deux parties sur la hiérarchisation des risques et les méthodes de gestion demeurerait — or, ce type de divergence ne peut pas être résolu par une simple augmentation du budget.
Cela ne change toutefois pas notre perception de ce travail.
Pour Chaos Labs, avoir contribué à Aave a toujours été un honneur, mais aussi une lourde responsabilité. Notre réputation repose sur notre historique. Chaque collaboration est soit menée aux normes requises, soit elle n’est pas entreprise.
Les personnes, la technologie et l’expérience opérationnelle
Aave est une marque exceptionnelle. Son leadership ne provient ni des fonctionnalités les plus spectaculaires, ni d’une stratégie de croissance la plus agressive.
Ce qui confère à Aave un avantage durable, c’est sa « fiabilité ». La marque et le sentiment du marché ne sont en réalité que des reflets retardés de ses performances, de sa sécurité et de ses capacités en matière de gestion des risques — particulièrement dans des environnements de marché extrêmes qui ont détruit d’autres acteurs. C’est précisément sur cette base que s’est progressivement forgé le consensus « Just Use Aave ».
Des concurrents ont introduit des mécanismes et des stratégies de croissance plus agressifs, mais l’un après l’autre, ils se sont effondrés en raison d’erreurs de gestion des risques ou de failles de sécurité. Sur un marché composé des actifs les plus volatils au monde, la « capacité de survie » constitue en soi le produit. Celui qui gère les risques le mieux — et le plus longtemps — remporte la victoire.
L’innovation véritable d’Aave réside justement dans des domaines souvent négligés par d’autres protocoles : les processus et les infrastructures. Nous avons conçu et déployé pour la première fois sur Aave les « Oracles de risque », permettant au protocole de s’auto-réguler et de mettre à jour ses paramètres en temps réel, en fonction de conditions de marché dynamiques et fortement instables. Cette infrastructure a permis à Aave de s’étendre à plus de 250 marchés répartis sur 19 blockchains, de traiter des centaines de mises à jour de paramètres chaque mois, tout en maintenant des normes opérationnelles rigoureuses — ce qui lui a valu la confiance dont elle jouit aujourd’hui.
Au cours de la dernière année, Chaos Labs a exécuté et déployé continuellement plus de 2 000 mises à jour de paramètres de risque sur les marchés Aave, couvrant à la fois des ajustements manuels et des mécanismes automatisés de gestion via les Oracles de risque. Cette infrastructure permet à Aave de s’étendre à plus de 250 marchés sur 19 blockchains, tout en conservant une gestion des risques en temps réel.
Nombre de mises à jour de paramètres de risque exécutées sur Aave, à la fois par des gestionnaires humains et par les Oracles de risque Chaos.
Cette rigueur découle d’un écosystème de collaboration et d’un stack d’exécution spécifiques : ACI s’occupe de la croissance et de la gouvernance (@Marczeller), TokenLogic de la gestion des fonds et de la croissance (@Token_Logic), BGD de l’ingénierie protocolaire (@bgdlabs), et Chaos Labs de la gestion des risques.
La marque représente la partie visible ; ce qui la rend digne d’être vue, ce sont les personnes, la technologie et l’expérience opérationnelle qui se trouvent derrière.
Stratégie Go-to-Market (GTM) et expansion institutionnelle
Notre contribution va bien au-delà de la gestion des risques.
Ces dernières années, le secteur cryptographique s’est rapidement institutionnalisé. Les plus grandes institutions financières mondiales commencent à s’intégrer à la DeFi. Or, même si les avantages de la « mise sur chaîne » sont tangibles, ils ne pèsent rien face à un prérequis fondamental : si les institutions craignent pour la sécurité des fonds de leurs clients, tout le reste devient caduc. Pour toute entité régulée, toute discussion commence et se termine par la question des risques. Quelques points de base supplémentaires de rendement ne justifient jamais de prendre le risque de perdre le capital. Les institutions recherchent un rendement ajusté au risque, et elles n’alloueront pas leurs capitaux à un protocole qu’elles ne peuvent pas « expliquer clairement » à leur service de conformité.
C’est pourquoi l’historique de gestion des risques d’Aave constitue son actif GTM le plus important. Et nous, en tant que bâtisseurs de cet historique, sommes donc directement habilités à dialoguer avec ces institutions. À la demande d’Aave Labs, nous avons assumé ce rôle : nous avons rencontré des partenaires à l’échelle mondiale, produit des études et des rapports de due diligence, et participé personnellement à l’expansion institutionnelle d’Aave. Nous espérons que le DAO pourra continuer à bénéficier de ces acquis dans les mois à venir.
Le navire de Thésée
Si chaque planche d’un navire est remplacée, reste-t-il le même navire ? Le nom n’a pas changé, le drapeau non plus, mais la structure sous-jacente est entièrement différente.
C’est précisément la situation actuelle d’Aave. Les contributeurs centraux ayant conçu et exploité V3 ont quitté le projet, emportant avec eux l’expérience opérationnelle accumulée au cours des trois dernières années, qui a permis à Aave de traverser les cycles de marché.
Nous sommes le dernier contributeur technique encore présent au sein de ce groupe.
V3 reste l’application la plus importante de la DeFi, nécessitant une gestion des risques continue, 7 jours sur 7, 24 heures sur 24, 365 jours par an. Bien qu’Aave Labs affiche un optimisme quant à la rapidité de la migration vers V4, l’histoire montre que de telles transitions prennent généralement plusieurs mois, voire plusieurs années. Avant que V4 ne prenne entièrement en charge les marchés et la liquidité de V3, les deux systèmes devront fonctionner en parallèle. La charge de travail ne sera pas divisée par deux — elle doublera.
Plus critique encore est la question de l’expérience opérationnelle. Même en supposant une égalité de compétence entre les équipes, l’expérience acquise au cours de trois années continues de fonctionnement ne peut pas être transférée directement lors d’un passage de relais.
Combien de temps faudra-t-il pour combler ce fossé ? La réponse est clairement « non zéro ». Et tant que ce fossé n’aura pas disparu, quelqu’un devra en supporter le coût — or, cette responsabilité incombe presque entièrement à nous, alors même que le budget, déjà insuffisant, doit couvrir une portée accrue.
La pérennité de la marque ne signifie pas nécessairement celle du système.
Pourquoi V4 est différente
V4 est un nouveau protocole de prêt, doté d’un code entièrement nouveau pour les contrats intelligents, d’une architecture système renouvelée et d’un nouveau paradigme de conception. Hormis le nom, elle ne partage presque rien avec Aave V3.
Les changements architecturaux ont un impact direct sur la gestion des risques : davantage d’interdépendances entre marchés et modules, une nouvelle structure de crédit et une logique de liquidation revue. Quant aux « risques de second ordre » inhérents à tout nouveau protocole, ils ne se révèlent pleinement qu’après l’entrée effective de fonds réels dans le système.
Prendre en charge ce système de façon responsable implique de reconstruire entièrement les infrastructures, les chaînes d’outils et les systèmes de simulation, puis de redémarrer depuis zéro l’ensemble des opérations sur une base de code encore non éprouvée sur les marchés. Cette portée dépasse largement celle de V3 — et c’est précisément ce facteur qui constitue le cœur de notre décision.
Le risque est une conséquence directe de l’architecture. Lorsque celle-ci subit une transformation radicale, la gestion des risques elle-même doit être entièrement reconstruite. Contrairement à des services standardisés comme les oracles de prix ou les preuves de réserve, les Oracles de risque et leurs systèmes associés doivent être entièrement adaptés à l’architecture spécifique d’un protocole. Une refonte architecturale implique donc inévitablement la reconstruction complète de l’infrastructure de gestion des risques.
Le problème réside dans le fait que la portée s’est nettement élargie, sans que les ressources n’aient été augmentées en conséquence. Aave Labs pourrait accepter ce compromis, mais nous, non.
Le vrai coût de cette décision
Nous renonçons à une collaboration historiquement performante, d’un montant de 5 millions de dollars. Pour une startup, une telle décision n’est jamais prise à la légère, et mérite donc une explication plus approfondie.
La rémunération n’en constitue qu’une partie. Ce qui compte davantage, c’est le signal qu’elle envoie : la proportion de ressources qu’une organisation consacre à la gestion des risques reflète sa priorité accordée à celle-ci.
Je pense également que peu de personnes comprennent réellement le coût réel, les dépenses concrètes et les risques assumés par ce type de système. C’est pourquoi nous souhaitons ici les expliciter clairement.
Il convient de préciser ceci : le DAO a pleinement le droit de décider de ce qu’il considère comme prioritaire, et de ce qu’il souhaite payer pour cela. Je n’y vois aucun problème. Ma seule responsabilité consiste à évaluer si ces conditions sont compatibles avec nos propres exigences — or, cette fois-ci, elles ne le sont pas.
Comparer Aave à une banque
Aave se compare fréquemment aux banques, et nous utilisons ce même cadre de référence. Les banques consacrent généralement entre 6 % et 10 % de leurs revenus aux infrastructures de conformité et de gestion des risques. En 2025, les revenus d’Aave s’élèvent à 142 millions de dollars, tandis que notre budget s’élève à 3 millions de dollars, soit environ 2 %.
Nous estimons que le budget minimum requis pour la gestion des risques couvrant à la fois V3 et V4 devrait s’élever à 8 millions de dollars, afin de prendre en compte l’élargissement du périmètre des risques, les infrastructures supplémentaires nécessaires et les travaux GTM que nous avons déjà assumés — soit environ 5,6 % des revenus, encore en dessous du seuil inférieur observé chez les banques.
Or, cette comparaison est probablement même trop « indulgente ». L’ouverture inhérente aux blockchains rend les risques de marché et les risques de cybersécurité plus complexes et plus asymétriques. Le caractère open source et transparent des protocoles signifie que la surface d’attaque est tout autant visible pour tous. Une série d’attaques récentes a démontré que ces risques ne sont pas purement théoriques. Nous pensons que la DeFi devrait investir davantage dans la gestion des risques que la finance traditionnelle, et non moins.
Certes, l’échelle d’Aave est sans équivalent dans la DeFi, et la comparaison avec les banques ne vise qu’à fournir un point de référence pour comprendre le niveau d’investissement habituel des institutions qui prennent réellement les risques au sérieux. La question de savoir si un protocole « est capable » d’investir dans la gestion des risques est distincte de celle de savoir s’il « choisit » de le faire.
Pour Aave, la capacité n’est pas le problème : le DAO détient environ 140 millions de dollars de réserves, et Aave Labs vient d’approuver une proposition de financement interne de 50 millions de dollars. Mais même en cas de rareté des ressources, le coût de la gestion des risques ne change pas. Un budget ne peut pas remodeler la structure des menaces — le coût est le coût.
Les coûts qui n’apparaissent pas dans le budget
Les coûts humains et d’infrastructure ne représentent que les coûts explicites. D’autres coûts, plus difficiles à quantifier mais tout aussi incontournables, sont implicites.
Premièrement, les risques juridiques et institutionnels. Dans le domaine de la DeFi, exercer une fonction de gestion des risques — qu’il s’agisse d’un gestionnaire de risques ou d’un gestionnaire de trésorerie — implique de faire face à des limites de responsabilité encore mal définies. Il n’existe pas de cadre réglementaire mature, pas de « port sûr », et aucune définition juridique claire quant à la responsabilité du gestionnaire de risques en cas de défaillance du protocole. Lorsque tout fonctionne correctement, ce travail reste « invisible » ; dès qu’un problème survient, la responsabilité ne disparaît pas pour autant.
Deuxièmement, la sécurité réseau et opérationnelle. Fournir des services de gestion des risques à un protocole gérant des dizaines de milliards de dollars d’actifs en fait en soi une cible privilégiée. Les coûts liés aux audits, à la surveillance, à l’infrastructure et aux systèmes de contrôle interne augmentent proportionnellement au volume des dépôts des utilisateurs.
Ces coûts ne nous sont pas propres. Toute équipe assumant ce rôle à une telle échelle serait confrontée aux mêmes expositions. La question est donc de savoir si la structure de cette collaboration reflète bien cette réalité.
Si les gains potentiels sont limités, tandis que les risques à la baisse sont illimités, poursuivre cette collaboration n’est pas une « preuve de conviction », mais plutôt une mauvaise gestion des risques.
Nos principes
Chez Chaos, nous adhérons à un principe simple : nous ne mettons notre nom que sur les travaux auxquels nous adhérons pleinement.
Il est facile de respecter ce principe lorsque tout va bien ; ce qui compte vraiment, c’est le respecter lorsqu’il en coûte. Aujourd’hui, ce coût s’élève à 5 millions de dollars.
J’ai écrit dans « The Market Crypto Never Built » ce à quoi devrait ressembler une gestion des risques de niveau institutionnel. Cette décision en est la traduction concrète dans le monde réel. Si nous prônons des normes plus élevées pour l’industrie, nous devons d’abord les appliquer à nous-mêmes.
Je souhaite sincèrement le succès de V4. Si nos inquiétudes se révèlent exagérées, ce sera une excellente nouvelle pour l’ensemble du secteur.
À la communauté Aave : merci pour la confiance placée en nous durant cette période — c’est un honneur pour nous.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@omeragoldberg
