5% de rendement Vs 100% de risque : votre dépôt DeFi a-t-il été « mal apparié » ?

null

Écrit par : Tom Dunleavy

Traduit par : Chopper, Foresight News

KelpDAO subit une attaque de pont cross-chain de 292 millions de dollars, le risque se propage à Aave, entraînant l’évaporation de 13 milliards de dollars de la valeur totale des actifs verrouillés en DeFi en 48 heures. Si vous déposez des USDC sur le marché monétaire pour un rendement de seulement 5 %, la question clé n’est pas de savoir si la DeFi comporte des risques, mais si : votre rendement correspond au risque encouru. Cet article analysera cette problématique à l’aide de la logique de tarification des obligations.

Il y a deux semaines, l’attaquant a dérobé 292 millions de dollars à KelpDAO, le rsETH volé a ensuite été réintroduit dans Aave V3 en tant que garantie, provoquant directement une perte de créances douteuses d’environ 196 millions de dollars pour Aave. En seulement trois jours, la valeur totale des actifs verrouillés dans Aave est passée de 26,4 milliards à 17,9 milliards de dollars. Avant cela, deux semaines plus tôt, le protocole Drift de l’écosystème Solana a été victime d’une attaque par ingénierie sociale sur la clé privée de l’administrateur, perdant 285 millions de dollars, une attaque dont la planification remonte au moins à l’automne 2025.

Deux incidents majeurs de sécurité en seulement trois semaines, totalisant une perte de 577 millions de dollars. Sous l’effet d’un retrait massif, le taux d’utilisation des fonds sur le marché de prêt USDC d’Aave a atteint 99,87 % pendant quatre jours consécutifs, avec un taux d’intérêt de dépôt atteignant 12,4 %. Gordon Liao, économiste en chef chez Circle, a même proposé une résolution de gouvernance pour quadrupler la limite de prêt afin d’atténuer la demande de retrait.

Il y a un mois, de nombreux utilisateurs ont déposé des stablecoins sur le marché monétaire DeFi, avec un rendement annualisé de seulement 4 % à 6 %. Aujourd’hui, tout le monde doit faire face à une question centrale : ce type de tarification du rendement est-il lui-même raisonnable ? Quelques semaines avant l’éclatement de l’incident KelpDAO, Santiago R Santos avait déjà exprimé des doutes dans un podcast Blockworks : dans la DeFi, nous supportons à long terme des risques élevés sans jamais recevoir une compensation adéquate pour ces risques. À l’avenir, la prime de risque raisonnable pour divers actifs devrait être redéfinie.

Comment la finance traditionnelle tarifie-t-elle le risque de crédit ?

Le rendement de toutes les obligations d’entreprise est constitué d’une compensation à plusieurs niveaux pour le risque. La formule de tarification centrale est la suivante :

Rendement = Rf + [PD x LGD] + Prime de risque + Prime de liquidité

Rf est le taux sans risque, basé sur le rendement des obligations d’État américaines à échéance correspondante. PD × LGD représente la perte attendue = probabilité de défaut × taux de perte en cas de défaut, où le taux de perte en défaut = 1 - taux de récupération des actifs. La prime de risque compense l’incertitude au-delà de la perte attendue ; même si deux actifs ont des PD et LGD identiques, la tarification peut différer si la plage de fluctuation des résultats du risque est différente. La prime de liquidité correspond au coût supplémentaire de la liquidation ou de la sortie d’un actif à prix réduit.

En combinant les données historiques longues de Moody’s depuis 1920, voici les références :

Le taux de défaut à long terme des obligations spéculatives américaines est de 4,5 %, soit 3,2 % sur les douze derniers mois, avec une prévision d’augmentation à 4,1 % au premier trimestre 2026 ;

Le taux de récupération moyen historique des obligations à haut rendement non garanties est d’environ 40 %, ce qui correspond à une perte en défaut d’environ 60 % ;

La perte attendue annuelle à long terme pour ces obligations à haut rendement : 4,5 % × 60 % = 2,7 % ;

Dans le domaine du crédit privé, KBRA prévoit un taux de défaut direct de 3,0 % en 2026, avec un taux de récupération moyen de 48 % pour les cas de défaut en 2023–2024 ;

Les prêts à effet de levier garantis ont un taux de récupération historique compris entre 65 % et 75 %.

Les taux de rendement traditionnels en avril 2026

Examinons les données actuelles. La dernière clôture du mercredi dernier pour le rendement du bon du Trésor américain à 10 ans était de 4,29 %. Parallèlement, voici la différence de taux ajustée par option pour avril 2026 selon ICE BofA.

La logique de tarification est claire et conforme au bon sens : en suivant la hiérarchie du capital, du Trésor américain, des obligations investment grade, des obligations spéculatives, jusqu’aux actifs immobiliers commerciaux subordonnés, les rendements augmentent à chaque niveau pour compenser la hausse du risque de défaut et de perte. Le rendement des prêts privés directs reste autour de 9 %, non pas parce que le taux de défaut des emprunteurs est plus élevé, mais parce que la liquidité des actifs non standard est très faible, ce qui entraîne une prime de liquidité importante.

En revanche, sur le marché DeFi : avant l’incident KelpDAO, le taux d’intérêt sur les dépôts USDC d’Aave était d’environ 5,5 %, un niveau de tarification situé entre la dette investment grade et la high yield B. La plateforme Morpho, qui repose sur des coffres sélectionnés et une gestion active, offre un rendement d’environ 10,4 %. Ces deux chiffres ne peuvent pas refléter simultanément le même risque latent.

Trois modes de défaillance spécifiques à la DeFi, totalement absents dans la finance traditionnelle

Le processus de défaut de crédit traditionnel est fastidieux. L’emprunteur ne peut pas payer les intérêts, le détenteur d’obligation peut déclencher une clause d’accélération, il y a restructuration d’entreprise, liquidation d’actifs, négociation pour la récupération, tout cela prend du temps et peut faire l’objet de négociations.

Mais la DeFi ne dispose pas de mécanisme de restructuration de la dette, la menace principale venant des attaques sur le protocole, qui se déclinent en trois modes de défaillance totalement différents, chacun ayant ses propres caractéristiques de perte.

Mode 1 : attaque par vulnérabilité du contrat intelligent

Les vulnérabilités du code provoquent des vols, par exemple attaques par réentrée, défaillance de la validation des paramètres, absence de contrôle d’accès, etc. Les attaquants siphonnent directement les fonds du pool. Les données historiques montrent que : pour les attaques impliquant des hackers éthiques, le taux de récupération moyen est de seulement 5 % à 15 % ; pour des hackers de niveau étatique nord-coréen, il tend vers zéro. En 2021, le vol de 611 millions de dollars sur Poly Network a été entièrement restitué, un cas extrême ; les vols de 625 millions de dollars sur Ronin et 325 millions de dollars sur Wormhole ont été finalement récupérés, mais cela dépendait du soutien des projets et des market makers, ce qui n’est pas une récupération de marché, mais une compensation par les actionnaires.

Mode 2 : manipulation des oracles et attaques de gouvernance

En manipulant malicieusement les prix dans des pools de liquidité décentralisés peu liquides, on peut créer artificiellement des mauvaises créances ; ou en accumulant des tokens de gouvernance et en passant des propositions malveillantes, on peut siphonner les fonds du trésor. En 2022, Beanstalk a perdu 182 millions de dollars suite à une attaque de gouvernance, un exemple typique. Bien que ces risques puissent être partiellement atténués par une intervention du protocole, les créances détenues par les prêteurs deviennent souvent des tokens sans valeur.

Mode 3 : effondrement en chaîne par composition

L’incident KelpDAO appartient à ce mode, qui est aussi le plus dangereux et le plus difficile à prévoir ou auditer. Un protocole A émet des dérivés de staking / re-staking, un protocole B accepte ces actifs en garantie, et un protocole C gère le pont cross-chain. Si une étape est attaquée, cela peut entraîner une explosion en chaîne de toutes les positions en aval. L’attaquant n’a pas besoin de compromettre directement Aave, il suffit de percer le protocole sous-jacent rsETH pour que le prêteur Aave supporte une créance douteuse massive.

Ces trois types de risques partagent une caractéristique commune : l’éclatement du risque en quelques minutes, et non en plusieurs trimestres. Sans contrat, sans négociation, sans filet de sécurité en cas de faillite, le code des smart contracts s’exécute automatiquement, la règle étant le code lui-même. Si le code comporte une vulnérabilité, la perte est presque totale et irrécupérable. La créance douteuse de rsETH dans Aave V3 a explosé de zéro à 196 millions de dollars en seulement environ quatre heures. En comparaison, le délai médian pour une restructuration de dette dans la finance traditionnelle de niveau BB est de 14 mois.

Les vérités révélées par les pertes réelles

Le rapport à mi-parcours de Chainalysis de décembre 2025 révèle des données contradictoires : entre début 2024 et octobre 2025, la valeur totale des actifs verrouillés en DeFi est passée de 40 milliards à un pic de 175 milliards de dollars, mais les pertes dues aux attaques de hackers en DeFi sont restées proches des niveaux faibles de 2023. En 2025, le total des fonds dérobés s’élève à 3,4 milliards de dollars, principalement concentrés sur les échanges centralisés et les portefeuilles personnels.

À première vue, ces chiffres peuvent faire croire que la sécurité de la DeFi s’améliore continuellement. La réalité objective est là : le secteur des audits de contrats est mature, des plateformes comme Immunefi garantissent la sécurité de plus de 1000 milliards de dollars d’actifs, et les ponts cross-chain introduisent progressivement des mécanismes de verrouillage temporel et de vérification multi-parties.

Mais la réalité de 2026 est tout autre : le 1er avril, Drift a perdu 285 millions de dollars, et le 18 avril, KelpDAO a perdu 292 millions de dollars. En 18 jours, deux incidents de plusieurs centaines de millions de dollars, ciblant tous deux des vulnérabilités dans l’architecture de composition, et non dans le protocole de prêt lui-même.

En combinant la taille moyenne des actifs verrouillés chaque année, on peut estimer le taux de perte annuelisé récent en DeFi :

2024 : pertes spécifiques en DeFi d’environ 500 millions de dollars, avec une moyenne de 75 milliards de dollars verrouillés → taux de perte annuelisé de 0,67 %

2025 : pertes d’environ 600 millions de dollars, avec une moyenne de 120 milliards de dollars verrouillés → taux de perte annuelisé de 0,50 %

2026 (sur l’année, en extrapolant) : seulement lors du deuxième trimestre, deux incidents ont causé une perte de 577 millions de dollars, avec une moyenne de 95 milliards de dollars verrouillés → si cette tendance se poursuit, le taux de perte annuelisé atteindrait 2,0 % à 2,5 %

Selon ces calculs, la probabilité de défaut annuelle pour les principales activités de prêt DeFi est d’environ 1,5 % à 2,0 %. En tenant compte d’une perte de 90 % en cas de défaut extrême (sans soutien externe, avec un taux de récupération de seulement 5 à 15 %), la perte attendue annualisée serait de 1,35 % à 1,80 %. Ce chiffre dépasse déjà celui des obligations à haut rendement traditionnelles, sans compter la prime d’incertitude, la décote de liquidité, les risques réglementaires et la contagion via la composition cross-chain.

Modèle de prime de risque raisonnable pour la DeFi

En s’appuyant sur la logique de tarification des obligations, nous estimons le rendement juste pour les dépôts en stablecoins dans la DeFi de premier plan : en se référant aux principaux protocoles sur la blockchain Ethereum (Aave, Compound), avec une sur-collatéralisation suffisante, et à des produits de prêt USDC destinés aux particuliers et aux emprunteurs quantitatifs.

En partant du rendement des obligations d’État américaines à 10 ans, on construit une valeur de rendement juste par couches successives :

Taux sans risque (obligation à 10 ans) : +4,30 %

Perte fixe attendue : +1,50 %

Prime de manipulation des oracles : +0,75 %

Prime de risque liée à la gouvernance / clés privées des administrateurs : +1,00 %

Risque de chaîne de composition inter-protocoles (risque similaire à Kelp) : +1,25 %

Prime de risque réglementaire asymétrique : +1,25 %

Risque de déconnexion des stablecoins : +0,50 %

Prime de liquidité des actifs : +0,50 %

Prime de risque totale : +1,50 %

Ce qui donne un rendement annuel juste et raisonnable : 12,55 %.

Ainsi, dans des conditions idéales, le rendement raisonnable pour un dépôt en stablecoins dans un DeFi conforme serait d’au moins 13 %. Les actifs bénéficiant d’une couverture d’assurance ou d’un fonds de réserve protocolaires peuvent voir leur taux légèrement réduit ; pour les protocoles de longue traîne, les nouveaux marchés ou ceux impliquant des re-stakings et des ponts cross-chain, une prime de risque plus élevée est nécessaire.

Conclusion

Premièrement, il faut viser une compensation équitable. Si vous offrez un rendement de 5 % en USDC dans la DeFi, vous acceptez en réalité une tarification de crédit de niveau BB, alors que ses risques techniques et de composition sont en réalité supérieurs à ceux d’un CCC. Les coffres sélectionnés comme Morpho, avec des taux entre 9 % et 12 %, sont plus proches d’un rendement juste, mais ils présentent aussi des problèmes de gestion et de transparence.

Deuxièmement, il faut renforcer la structure du capital. Les prêts surcollatéralisés avec des collatéraux de qualité (ETH, wBTC, LST éprouvés), accompagnés de redondance oracle, d’une couche d’assurance protocolaires, sans risques de cross-chain, ont une prime de risque bien inférieure à celle décrite ci-dessus. Ces actifs relèvent de la catégorie « investissement de qualité » en DeFi.

Troisièmement, il faut évaluer correctement le risque de queue. La faille de KelpDAO n’est pas un événement « black swan », mais une défaillance prévisible dans un contexte de fragmentation croissante des architectures multi-chaînes, liée à la re-staking. La situation de Drift est similaire, avec des acteurs différents. Au deuxième trimestre 2026, 577 millions de dollars de pertes permanentes ont été enregistrés. Un portefeuille DeFi avec un rendement de 5,5 % ne peut pas couvrir les risques d’effondrement extrême et de défaillances en chaîne.

La DeFi n’est pas invendable, mais elle est mal évaluée actuellement. Les opportunités d’investissement de niveau institutionnel existent réellement, mais à condition que les investisseurs exigent une prime de risque raisonnable correspondant au risque encouru, ou qu’ils effectuent une due diligence approfondie sur chaque protocole, à la manière d’un crédit privé. Déposer aveuglément dans des actifs de marché monétaire de premier plan ou accepter passivement des taux faibles n’est qu’une stratégie de rendement à haut risque déguisée en investissement sans risque.