À retenir
Le caractère ouvert et sans autorisation de la finance décentralisée (DeFi) la rend attrayante pour les escrocs. Savoir quels signaux d’alerte rechercher peut vous aider à prendre des décisions plus éclairées.
Vérifier l’objectif du projet, l’activité de développement et l’historique des audits de contrats intelligents fait partie des premières étapes lors de l’évaluation de tout protocole DeFi.
Les équipes anonymes, les détentions concentrées de tokens et l’absence d’audits sont des signaux d’alerte fréquents. Aucun de ces facteurs, à lui seul, ne garantit une arnaque, mais ils augmentent le risque.
Les rug pulls, les fausses demandes d’approbation de tokens et les attaques de phishing font partie des moyens les plus courants pour que les escrocs volent des fonds en DeFi.
Faites toujours vos propres recherches (DYOR) avant de déposer des fonds dans n’importe quel protocole DeFi. Il n’existe aucune autorité centrale pour récupérer les fonds perdus.
Introduction
La DeFi a introduit de nouvelles façons de s’endetter, de prêter, d’échanger et de gagner de l’argent sans dépendre d’intermédiaires traditionnels. Mais la même ouverture qui la rend innovante en fait aussi une cible pour les personnes malveillantes. N’importe qui peut lancer un projet et il n’y a pas de contrôleurs pour empêcher une activité frauduleuse d’atteindre les utilisateurs.
Ce guide couvre les principaux signaux que vous pouvez vérifier lors de l’évaluation d’un projet DeFi. Aucun de ces contrôles n’est infaillible à lui seul. Mais les utiliser ensemble peut vous aider à éviter les pièges les plus évidents.
Quel est l’objectif du projet ?
Une question simple mais importante : que fait réellement ce projet ? De nombreux nouveaux projets DeFi sont des copies de protocoles existants, sans amélioration significative. Ils sont lancés pendant des périodes d’activité élevée sur le marché pour attirer l’attention, collecter des fonds, puis disparaître.
Demandez si le projet résout un problème réel. Explique-t-il clairement son fonctionnement ? Y a-t-il un livre blanc, une documentation ou une feuille de route publique ? Les projets qui ne parviennent pas à articuler clairement leur valeur méritent d’être abordés avec prudence.
Pensez également à savoir si le projet construit quelque chose de nouveau ou s’il ne fait que rajouter un token à une idée existante. L’innovation véritable n’est pas une garantie de légitimité, mais son absence peut être un signal jaune.
Activité de développement et transparence
Les projets DeFi légitimes sont généralement open-source. Cela signifie que vous pouvez lire le code, ou au minimum vérifier qu’il existe et qu’il est mis à jour. L’activité des développeurs sur des plateformes comme GitHub est publiquement visible et peut vous donner une idée approximative de savoir si une équipe travaille, ou non.
Des commits actifs, une documentation claire et un historique de corrections de bugs suggèrent une équipe engagée. Un dépôt créé une seule fois et jamais mis à jour peut indiquer une activité à court terme. Même si cette métrique peut être « jouée », il reste utile de la vérifier dans le cadre d’une due diligence plus large.
Audits de contrats intelligents
Les protocoles DeFi fonctionnent sur des contrats intelligents, c’est-à-dire des programmes s’exécutant automatiquement sur une blockchain. Si le code contient des vulnérabilités, les attaquants peuvent les exploiter pour vider des fonds. Un audit de contrat intelligent correspond à une revue du code par une société de sécurité indépendante afin d’identifier ce type de faiblesses.
Tous les projets n’ont pas d’audits. Les audits peuvent coûter cher, et certains projets d’arnaque les ignorent complètement. Si un projet a été audité, vérifiez par quelle société, quand l’audit a été réalisé et si les conclusions ont été prises en compte. Un audit effectué par une entité inconnue plusieurs mois avant le lancement a moins de valeur qu’un audit récent réalisé par une société reconnue.
Important : même un audit « propre » ne signifie pas qu’un protocole est sans risque. De nouvelles vulnérabilités peuvent apparaître après la fin d’un audit, et certaines exploits ciblent la logique plutôt que des erreurs de code.
Anonymat de l’équipe et responsabilisation
La crypto a une longue histoire de concepteurs pseudonymes. Satoshi Nakamoto, le créateur de Bitcoin, n’a jamais été identifié. Les équipes anonymes ne sont pas automatiquement suspectes, et il existe des projets légitimes avec des fondateurs pseudonymes.
Cependant, lorsqu’une équipe est anonyme, il est plus difficile de la tenir responsable si quelque chose tourne mal. Un fondateur ayant une réputation réelle a davantage à perdre en lançant une arnaque. Si l’équipe est anonyme, cherchez d’autres signaux de légitimité : un historique de projets précédents, l’implication de la communauté et des audits réalisés par des tiers.
Distribution des tokens et tokenomics
Passer en revue les tokenomics d’un projet, c’est comprendre comment les tokens sont créés, alloués et distribués. Un mécanisme d’arnaque courant consiste à ce que des initiés du projet détiennent une grande part de l’offre totale, puis vendent cette part une fois que le prix du token augmente, ce qui fait s’effondrer le marché pour tout le monde.
Recherchez des informations publiques sur la répartition de l’allocation des tokens. Quelle part l’équipe détient-elle ? Existe-t-il des calendriers d’acquisition (vesting) ou des périodes de blocage qui empêchent une vente immédiate ? Le token a-t-il été distribué via un processus public équitable ou via une prévente exclusive ?
Une offre très concentrée ne garantit pas une arnaque, mais elle crée des conditions dans lesquelles un petit groupe peut faire varier significativement le prix. Si les informations sur la répartition sont difficiles à trouver ou volontairement vagues, considérez cela comme un signal d’alerte.
Signaux d’arnaque par sortie de liquidités (Exit Scam)
Un rug pull se produit lorsque les développeurs du projet retirent soudainement des fonds ou retirent la liquidité, laissant les détenteurs de tokens incapables de vendre. C’est l’un des types d’escroqueries les plus courants dans la DeFi.
De nombreux nouveaux tokens sont lancés sur des market makers automatisés (AMM) à l’aide de pools de liquidité. Si l’équipe fournit la majorité de la liquidité pour son propre token, elle peut la retirer à tout moment, détruisant ainsi le marché. Les plateformes qui vérifient des blocages de liquidité (liquidity lock-ups), où la liquidité ne peut pas être retirée pendant une période donnée, offrent une couche de protection contre ce risque.
Dans les montages de yield farming, les escrocs demandent parfois aux utilisateurs de déposer des fonds dans des contrats avant de les vider. Des rendements annoncés anormalement élevés, une pression pour agir rapidement, et des contrats sans audits sont des signes fréquents de ce type de stratagème.
Hameçonnage (phishing) et arnaques d’autorisations (Approval Scams)
Au-delà de la fraude directe par les équipes de projet, les utilisateurs individuels sont souvent visés par des attaques de phishing. Celles-ci impliquent fréquemment de faux sites web ou des comptes sur les réseaux sociaux qui se font passer pour des projets DeFi légitimes, dans le but de voler les identifiants du portefeuille ou de pousser les utilisateurs à signer des transactions malveillantes.
Une version plus ciblée est l’arnaque d’approbation (fake approval scam). Lorsque vous interagissez avec un protocole DeFi, votre portefeuille peut vous demander d’approuver le contrat pour dépenser vos tokens. Des contrats malveillants peuvent demander une approbation illimitée, leur donnant accès à tous les tokens d’un certain type présents dans votre portefeuille. Examinez toujours attentivement les demandes d’autorisation et envisagez d’utiliser des outils permettant de révoquer les approbations des contrats que vous n’utilisez plus.
L’empoisonnement d’adresses (address poisoning) est une autre tactique qui a fortement attiré l’attention à partir de la fin 2022. Les attaquants envoient de petites transactions depuis une adresse de portefeuille qui ressemble beaucoup à une adresse avec laquelle vous avez déjà interagi. Si vous copiez une adresse récente de votre historique de transactions sans vérifier soigneusement, vous pourriez envoyer des fonds par erreur à l’attaquant. Vérifiez toujours les adresses caractère par caractère avant d’envoyer des fonds.
Flash Loans et manipulation d’oracles
Certains types d’attaques ciblent les mécanismes sous-jacents des protocoles DeFi plutôt que les utilisateurs individuellement. Les attaques par flash loan consistent à emprunter de grandes quantités d’actifs dans une seule transaction, à les utiliser pour manipuler les prix du marché ou l’état du protocole, puis à rembourser le prêt avant que le bloc ne se ferme. L’attaquant peut réaliser un profit tandis que le protocole ou ses utilisateurs subissent une perte.
La manipulation d’oracle est liée. Les protocoles DeFi s’appuient souvent sur des oracles de prix pour déterminer la valeur des actifs. Si un attaquant parvient à manipuler l’alimentation de prix, il pourrait exploiter des protocoles de prêt ou des dérivés. Les projets qui utilisent plusieurs oracles indépendants ou des moyennes de prix pondérées dans le temps sont généralement plus résistants à ce type d’attaque.
Ces types d’attaques sont plus pertinents pour évaluer s’il faut utiliser un protocole spécifique que pour déterminer si un projet est une arnaque manifeste. Un protocole qui ne traite pas les vecteurs d’attaque connus dans sa documentation peut être moins sûr.
FAQ
Quelles sont les arnaques DeFi les plus courantes ?
Les rug pulls, les exit scams, les attaques de phishing, les fausses demandes d’approbation de tokens et l’empoisonnement d’adresses font partie des types les plus courants. Certains attaquants exploitent aussi des vulnérabilités de contrats intelligents ou manipulent des oracles de prix pour vider les fonds du protocole.
Comment puis-je vérifier si un projet DeFi a été audité ?
La plupart des projets légitimes lient leurs rapports d’audit sur leur site officiel ou leur documentation. Vous pouvez aussi vérifier directement sur les sites des principales sociétés d’audit. Si un rapport d’audit est indisponible ou ne peut pas être vérifié, considérez cela comme un facteur de risque.
Est-il sûr d’utiliser un protocole DeFi avec une équipe anonyme ?
Les équipes anonymes ne sont pas automatiquement une arnaque. En revanche, cela réduit la responsabilisation. Recherchez d’autres signaux de confiance, comme l’historique des audits, du code open-source, des périodes de blocage pour les tokens de l’équipe, et une trajectoire active au sein de la communauté. Évaluez l’ensemble de ces éléments plutôt que de vous fier à un seul facteur.
Que dois-je vérifier avant d’approuver la dépense d’un token dans mon portefeuille ?
Vérifiez l’adresse du contrat par rapport à la documentation officielle du projet avant d’approuver. Méfiez-vous des demandes d’approbation illimitées, qui accordent à un contrat l’autorisation de dépenser tous les tokens d’un certain type. Révoquez les approbations des contrats que vous n’utilisez plus, car des autorisations en veille peuvent être exploitées si un contrat est compromis par la suite.
Puis-je récupérer des fonds perdus à cause d’une arnaque DeFi ?
Dans la plupart des cas, non. Les transactions blockchain sont irréversibles. Les fonds envoyés à un contrat d’arnaque ou à une adresse incorrecte ne peuvent généralement pas être récupérés. Certains projets ont volontairement retourné des fonds volés, et les forces de l’ordre ont réussi à retracer et à saisir des actifs dans certains dossiers très médiatisés, mais ce sont des exceptions plutôt que la règle.
Dernières réflexions
Les arnaques DeFi exploitent la même ouverture qui rend la finance décentralisée précieuse. L’absence d’intermédiaires signifie qu’il n’y a aucune autorité à laquelle faire appel si quelque chose tourne mal. Développer une habitude constante de vérification des signaux couverts dans cet article, des audits et de la transparence de l’équipe à la distribution des tokens et aux demandes d’approbation, peut réduire votre exposition aux formes les plus courantes de fraude.
Aucune vérification ne suffit à elle seule, et même une recherche attentive ne peut pas éliminer tous les risques. Le paysage DeFi continue d’évoluer, et les tactiques d’escroquerie évoluent avec lui. Rester informé et aborder les nouveaux projets avec un regard critique demeure l’une des formes de protection les plus pratiques.
Pour aller plus loin
5 arnaques courantes en cryptomonnaie et comment les éviter
Qu’est-ce que les arnaques d’airdrop et comment les éviter ?
Comment analyser les projets DeFi
Qu’est-ce que les arnaques par multisig et comment les éviter ?
Arnaques Bitcoin courantes et comment les éviter
Avertissement : ce contenu vous est fourni « tel quel » à des fins d’information générale et uniquement à but éducatif, sans aucune déclaration ni garantie de quelque nature que ce soit. Il ne doit pas être interprété comme un conseil financier, juridique ou autre conseil professionnel, et il n’a pas pour but de recommander l’achat d’un produit ou d’un service spécifique. Vous devez demander votre propre avis à des conseillers professionnels appropriés. Lorsque le contenu est fourni par un contributeur tiers, veuillez noter que les opinions exprimées appartiennent au contributeur tiers et ne reflètent pas nécessairement celles de Binance Academy. Les prix des actifs numériques peuvent être volatils. La valeur de votre investissement peut baisser ou augmenter et vous pourriez ne pas récupérer le montant investi. Vous êtes seul responsable de vos décisions d’investissement et Binance Academy n’est responsable d’aucune perte que vous pourriez encourir. Pour en savoir plus, consultez nos Conditions d’utilisation, l’Avertissement relatif aux risques et les Conditions de Binance Academy.
