Les audits ne suffisent pas ? 3,3 milliards de dollars perdus dans des projets DeFi audités, révèlent les données

Les audits comptent, mais ce ne sont pas un bouclier magique. C’est la conclusion brutale d’un fil de discussion récent de la plateforme d’analyse de données blockchain Sentora, associé à un graphique en barres décomposant des milliards perdus lors de hacks et d’exploits en DeFi. Les données couvrent la période de 2020 à 2025 (à l’exception de l’effondrement de Terra) et soulèvent un point clair et inconfortable : même les projets ayant payé pour des revues de sécurité ont perdu beaucoup d’argent.

« Les audits sont essentiels pour la DeFi, mais pas une garantie », a écrit Sentora. « Les projets audités ont subi plus de 3,3 milliards de dollars de pertes entre ’20–’25, principalement à cause de rug pulls, de compromissions de clés privées et de modifications post-audit. Les audits en DeFi sont la ligne de base, mais une gestion efficace des risques nécessite toujours une surveillance active. »

Le graphique associé, qui trie les pertes par auditeur, montre que les projets non audités subissent le plus gros coup, environ dans le voisinage de $5 milliard, mais il montre aussi que les projets audités et des entreprises bien connues comme Certik, NCC Group et Trail of Bits sont loin d’être immunisés.

Un problème en couches

Pris ensemble, les visuels et le résumé de Sentora esquissent un problème en couches. Une partie est évidente : les projets qui ont sauté des audits ou coupé des coins en ont payé le prix. Une autre partie, tout aussi importante, est que les audits eux-mêmes ne sont que des instantanés, souvent réalisés avant des modifications de code de dernière minute, des changements de gouvernance ou l’introduction de nouvelles clés d’administration.

Ces modifications post-audit, ainsi que les attaques d’ingénierie sociale qui capturent des clés privées et les rug pulls malveillants par des insiders, représentent une grande part des 3,3 milliards de dollars de pertes que Sentora a signalés pour les projets audités. Le graphique met également en évidence une catégorie intermédiaire, une longue traîne d’auditeurs plus petits regroupés sous « Autre (68) », qui représentent ensemble une part importante des pertes.

Cela suggère que le problème ne réside pas seulement dans le fait qu’un projet ait été audité, mais dans la qualité et l’étendue de l’audit, la portée de l’auditeur, et ce qui se passe après la publication du rapport. Un audit qui omet des hypothèses de conception critiques, ou une équipe qui ignore les recommandations de mitigation, laisse la porte ouverte.

Les praticiens de la sécurité disent depuis des années qu’un seul audit doit être considéré comme le début d’un programme de sécurité, et non comme la ligne d’arrivée. La surveillance continue, les déploiements progressifs, les contrôles multisignatures, les timelocks sur les fonctions privilégiées, les programmes de bug bounty proactifs et les produits d’assurance font tous partie d’une approche plus résiliente.

Le message de Sentora renforce l’idée que les audits fixent un standard minimum, mais que les équipes et les investisseurs doivent superposer des protections et continuer à surveiller. Pour un écosystème DeFi qui valorise la composabilité et l’itération rapide, la tension est réelle. Les développeurs veulent déployer des fonctionnalités et pivoter rapidement ; les auditeurs ont besoin de portée et de temps pour être approfondis ; les attaquants cherchent les brèches entre eux.

La conclusion des données est simple et inconfortable : dépenser pour des audits restera nécessaire, mais la communauté doit aussi renforcer la discipline post-audit et les safeguards opérationnels si elle veut réduire significativement les pertes.

Le fil de Sentora et le graphique rappellent que la sécurité en DeFi est un processus, pas un certificat. Les audits aident à repérer les problèmes, mais ils n’empêchent pas que des problèmes surviennent. Tant que les équipes ne traiteront pas la sécurité comme un travail continu plutôt qu’une case à cocher, les chiffres clés continueront probablement à augmenter.