La vérité sur le massacre ! Le piège géant de l'assurance DeFi : les primes mangent les gains, et si un hacker intervient, tout devient zéro, vos actifs sont-ils toujours à nu ?

Beaucoup de gens sur le marché disent que l'assurance n'est qu'une arnaque, ces propos sont durs à entendre, mais ils sont étayés par des faits. L'assurance Cigna aux États-Unis a développé un algorithme qui refuse directement la indemnisation sans examiner le dossier médical ; l'assurance santé groupée arrête immédiatement le paiement des frais de soins dès que le délai fixé par l'algorithme est écoulé, la parole du médecin n'a aucune valeur. La stratégie des assurances traditionnelles a toujours été claire : d'abord collecter l'argent, détourner une part importante des bénéfices, puis instaurer des barrières successives pour empêcher la réclamation.

Bien que les dépôts bancaires soient garantis par la Federal Deposit Insurance Corporation (FDIC), la limite de remboursement est de seulement 250 000 dollars, un standard fixé en 1934 et quasiment inchangé depuis. Les comptes chez les courtiers sont protégés par la Securities Investor Protection Corporation (SIPC), avec une limite de 500 000 dollars ; si le montant dépasse ce seuil, la protection devient virtuelle. Tout le monde pense que la garantie est solide, mais en réalité, la limite de remboursement est entièrement fixée unilatéralement par l'assureur.

L'assurance DeFi aurait pu résoudre ce problème — éliminer l'intermédiaire, faire en sorte que le contrat intelligent déclenche automatiquement le paiement en cas de conditions remplies, supprimant ainsi toute possibilité de refus malveillant. Mais la réalité est que presque personne n'est prêt à acheter. Les primes d'assurance rongent considérablement les gains d'investissement, et après déduction des primes, le reste ne couvre pas le risque que l'utilisateur supporte.

Nexus Mutual est actuellement le plus grand fournisseur d'assurance DeFi, avec un total de réclamations cumulées d’un peu plus de 18 millions de dollars depuis son lancement en 2019. En avril 2026, le DAO Kelp a été attaqué par un hacker, avec une perte de 292 millions de dollars. Cette seule attaque représente 16 fois le total des réclamations de cette grande assurance en sept ans. Les assurances traditionnelles refusent massivement les réclamations, tandis que les primes d’assurance DeFi sont faibles, la cause principale étant que peu d’investisseurs sont prêts à souscrire une assurance.

L’assurance traditionnelle peut fonctionner de manière stable parce que les risques ne sont pas corrélés. Un incendie dans une maison ne provoque pas de dommages aux autres résidents. Une compagnie d’assurance peut vendre des polices à un million d’utilisateurs, et un seul sinistre lié à un incendie peut être couvert par l’ensemble des primes. En DeFi, ce type de séparation de risques n’existe pas — une défaillance de l’oracle, une faille dans un pont inter-chaînes, ou d’autres incidents de sécurité peuvent entraîner une réaction en chaîne affectant tous les pools de fonds et protocoles de prêt dépendant de cet actif sous-jacent.

En mars 2023, l’événement de déconnexion du dollar USDC a affecté tous les protocoles utilisant le $USDC comme garantie. Pour le pool d’assurance DeFi, le risque est fortement corrélé : l’assureur ne peut que parier sur la maîtrise des pertes dues à un incident de sécurité, et que le fonds du pool d’assurance sera suffisant pour couvrir. En mars 2023, Euler Finance a été piraté pour 197 millions de dollars, avec une propagation rapide du risque : Angle Protocol a subi une perte de 17 millions de dollars en détenant des jetons de liquidité Euler, Yield Protocol a suspendu ses activités en urgence, et d’autres plateformes comme Inverse Finance ont été affectées. Lorsqu’une faille de sécurité survient dans un protocole, cela peut entraîner la faillite de plusieurs projets, et un incident extrême en une journée peut épuiser complètement la réserve de paiement du pool d’assurance.

Regardons les taux de prime actuels de Nexus Mutual et InsurAce, en les comparant à leur rendement annuel natif des protocoles qu’ils assurent : $Aave V3 offre un rendement annuel en USDC d’environ 3,14 %, avec une prime d’assurance comprise entre 1,5 % et 2,5 %, laissant un rendement net de seulement 0,6 % à 1,6 % après déduction. Les investisseurs prennent un risque de sécurité en chaîne, et leur rendement final est à peine supérieur à celui d’un compte d’épargne classique. Morpho, Compound, Spark ont des rendements similaires, avec un rendement annuel de 3,5 % à 4 %, mais la prime d’assurance réduit d’un tiers à la moitié ces gains, ce qui, malgré un profit minime, donne un rapport qualité-prix très faible.

Le pool de prêt institutionnel Maple Finance offre un rendement annuel de 4,77 % à 4,90 %, mais la prime d’assurance est aussi élevée, allant de 3 % à 6 %, ce qui donne un rendement net allant de -1,1 % à 1,9 % après souscription. La mise en garantie sur Ethena rapporte entre 3,6 % et 4 % par an, avec une prime également de 3 % à 6 %, et un rendement net de -2,4 % à 1 %. Acheter une assurance sur ces plateformes peut même entraîner une perte en capital dans des cas extrêmes. Seul MakerDAO (Sky) affiche de bonnes performances, avec un rendement annuel de 3,6 %, une prime d’assurance très faible de seulement 0,11 %, et une perception générale qu’il s’agit de l’actif le plus sûr en DeFi, avec un rendement net de 2,8 % à 3,5 %, la majorité des gains restant ainsi conservés.

Le prix des primes est strictement lié au niveau de risque, mais les plateformes émergentes pratiquent des primes trop élevées, ce qui consomme directement les gains élevés que recherchent les investisseurs. Les investisseurs en cryptomonnaies choisissent souvent de renoncer à l’assurance, non par paresse ou imprudence, mais parce qu’ils savent que dans la plupart des cas, acheter une assurance revient à rendre leur rendement nul. Même si tous les déposants DeFi décidaient demain de souscrire une assurance intégrale, l’industrie ne pourrait pas suivre : la taille du fonds total de Nexus Mutual est d’environ 81,56 millions de dollars, et la capacité d’assurance effective de toute l’industrie ne dépasse que quelques centaines de millions de dollars, alors que les actifs bloqués dans les protocoles majeurs atteignent plusieurs milliers de milliards, créant un écart énorme entre l’offre et la demande. En cas d’un incident de grande ampleur comme celui de Kelp DAO, une seule réclamation pourrait épuiser la majorité des réserves d’assurance du secteur.

Les 18 millions de dollars de réclamations totales illustrent la fragilité des pools de fonds du secteur — le marché n’a jamais connu un risque suffisamment important pour faire tomber en panne la réserve d’assurance. Après une demande de réclamation sur Nexus Mutual, tous les membres détenteurs de jetons doivent voter pour décider si la réclamation sera payée. Si la majorité vote en faveur, mais que la paiement échoue finalement, les actifs du membre votant seront directement affectés. Ce mécanisme favorise naturellement le refus de paiement. La assurance traditionnelle dispose de sous-traitants comme les souscripteurs et les experts en sinistres pour équilibrer ces tensions, alors que la conception des assurances DeFi rassemble tous les droits et responsabilités au sein du même groupe.

Avant la crise financière de 2008, les agences de notation des risques financiers pensaient généralement qu’un effondrement du marché immobilier américain était impossible, n’ayant jamais vécu une telle situation. La grande assurance AIG a vendu massivement des contrats de couverture de risque, mais lorsque la crise a éclaté, elle n’a pas pu honorer ses engagements. Avant la mise en place de la FDIC, les déposants américains n’avaient aucune garantie de sécurité de leurs actifs. La Grande Dépression a forcé le gouvernement à imposer une assurance bancaire obligatoire, faisant de cette assurance un coût fixe pour les banques. Dans le domaine de la DeFi, personne ne peut forcer Aave, Morpho ou d’autres protocoles à souscrire une assurance, car le déploiement de contrats intelligents est totalement sans permission, sans entité pouvant obliger les projets à se couvrir contre les risques, et le secteur manque de mécanismes de protection contre les événements extrêmes.

Les trois plus grandes réclamations de Nexus Mutual ont été : environ 7,3 millions de dollars pour FTX en deux versements, 5 millions de dollars pour le piratage de TribeDAO, et 3,4 millions de dollars pour l’attaque de Euler Finance. La somme de ces trois montants est presque équivalente au total des 7 années de réclamations, soit 18,6 millions de dollars. Aujourd’hui, cette plateforme d’assurance mutualiste se tourne vers la prévention des risques en amont, en collaborant avec des organismes comme Immunefi, Cantina, Sherlock pour lancer des produits de garantie contre les vulnérabilités, où la partie assurée ne paie que 20 % des primes pour les vulnérabilités critiques, le reste étant couvert par Nexus Mutual, qui investit à l’avance pour inciter les hackers éthiques à rechercher les failles, évitant ainsi les vols.

Par ailleurs, Nexus Mutual développe une plateforme d’assurance conforme, visant à connecter le risque cryptographique à des pools de réassurance, en attirant des capitaux externes pour renforcer la capacité d’assurance. En mars 2025, Cantina a lancé un produit de garantie native indépendant, permettant aux utilisateurs d’obtenir une indemnisation même si la faille n’a pas été détectée à l’avance par les chasseurs de bugs, en cas d’attaque. Ces deux initiatives de transformation reconnaissent une réalité essentielle : les fonds propres en chaîne ne suffisent pas à couvrir les risques en chaîne.

Les pools d’assurance sont trop petits, les risques fortement corrélés, et les décisions de réclamation et de financement sont concentrées dans le même groupe, ce qui empêche de résoudre ces trois problèmes majeurs. Selon DeFiLlama, Nexus Mutual détient environ 81,56 millions de dollars en fonds bloqués, représentant 85 % de la part de marché de l’assurance DeFi. Les autres acteurs voient leur taille continuer à diminuer : InsurAce a atteint un pic de 150 millions de dollars en fonds bloqués, il ne reste plus que 13 200 dollars aujourd’hui, après la déconnexion du UST en 2022, avec une seule grosse réclamation ; Sherlock a vu ses fonds fondre de 60 millions à 505 000 dollars en un an ; Unslashed Finance a des millions de dollars bloqués dans un code obsolète arrêté fin 2024. La plupart des autres projets d’assurance ont soit fermé complètement, soit changé de secteur.

Le phare avertit tous les navires des récifs, mais ne peut pas faire payer l’usage, ce qui rend difficile la construction volontaire de phares. Les bénéfices sont partagés par tous, mais le coût est supporté uniquement par le constructeur. La valeur de l’assurance DeFi réside dans sa capacité à empêcher la propagation de crises par liquidation en chaîne. Les actifs cryptographiques étant hautement interconnectés, seul un effort collectif d’assurance peut maintenir la stabilité globale du marché. Mais si tout le monde attend que les autres souscrivent pour couvrir, et que personne ne veut payer les primes, personne ne souscrira d’assurance, et le système de protection contre les risques sera virtuel. Sans garantie volontaire, aucun actif ne pourra être réellement protégé.