1inch Co-Fondateur Prône Prêts DeFi Plus Sûrs Après Hack- Article structure: Start with WP paragraph intro, early H2 on hack, then H3s for details and implications

Imaginez confier votre ETH à un protocole de lending, espérant des rendements attractifs, pour découvrir que des failles techniques ont permis à des attaquants de vider des millions en quelques heures. C’est précisément ce qui s’est produit récemment avec TrustedVolumes, un fournisseur de liquidité lié à 1inch. Cet événement n’est pas qu’un simple incident de plus dans l’écosystème crypto : il relance le débat sur la sécurité des mécanismes de prêt décentralisés.

Un nouvel exploit secoue la DeFi et met en lumière ses vulnérabilités

Le 7 mai 2026, la firme de sécurité blockchain Blockaid a révélé qu’un exploit avait drainé environ 5,87 millions de dollars du contrat resolver Ethereum de TrustedVolumes. Les actifs volés incluaient notamment 1 291 WETH, plus de 200 000 USDT, du WBTC et une quantité importante d’USDC. Cet incident cible un proxy RFQ customisé contrôlé par TrustedVolumes, et non une route d’échange standard utilisée par les utilisateurs finaux.

Cet événement intervient dans un contexte où la DeFi tente de gagner en maturité. Pourtant, les hacks récurrents rappellent que les infrastructures financières décentralisées restent exposées à des risques techniques importants. Sergej Kunz, co-fondateur de 1inch, a réagi publiquement pour souligner les faiblesses structurelles du système actuel.

Au-delà des chiffres, cet incident pose une question fondamentale : les modèles actuels de lending sont-ils adaptés aux exigences de sécurité d’un marché qui gère des milliards de dollars ? La réponse de Sergej Kunz est claire et mérite une analyse approfondie.

Sergej Kunz critique ouvertement les pools de lending partagés

Peu après l’exploit TrustedVolumes, Sergej Kunz a commenté un autre incident impliquant Kelp DAO et rsETH sur Aave. En tant que fournisseur de WETH, il a vu sa position devenir négative tandis que les retraits étaient bloqués par une utilisation à 100 %. Pour lui, ces dysfonctionnements ne sont pas des bugs isolés mais des caractéristiques inhérentes aux systèmes de pools partagés à taux variable.

Chaque échec ici est une fonctionnalité du lending à pools partagés et taux variables.

Sergej Kunz, co-fondateur de 1inch

Selon lui, un mauvais listing de collateral peut contaminer l’ensemble d’une réserve. Les sorties rapides récompensent ceux qui réagissent les premiers, créant un effet de panique similaire à une banque traditionnelle en crise de liquidité. Ces mécanismes socialisent les pertes tout en concentrant les risques.

Cette prise de position n’est pas anodine. Elle émane d’un acteur majeur de l’écosystème DeFi qui a contribué à développer des outils d’agrégation d’échanges très utilisés. Son appel à repenser le lending mérite que l’on s’y attarde longuement.

Les dangers concrets des modèles traditionnels de lending

Les pools partagés ont popularisé le lending décentralisé en offrant simplicité et liquidité immédiate. Pourtant, ils présentent plusieurs faiblesses structurelles. D’abord, le risque de contagion : un actif collateral mal évalué ou manipulé peut entraîner des liquidations en cascade. Ensuite, le problème de l’utilisation à 100 % qui bloque les retraits au moment où les fournisseurs en ont le plus besoin.

De plus, la gouvernance lente et centralisée de nombreux protocoles rend difficile une réaction rapide face aux menaces. Les mises à jour de contrats nécessitent souvent un consensus long, pendant lequel les attaquants peuvent exploiter les failles. L’histoire récente de la DeFi regorge d’exemples où des permissions excessives ont permis des drains massifs.

Les market makers et les resolveurs comme ceux utilisés par TrustedVolumes nécessitent souvent des approbations larges pour fonctionner efficacement. Cette nécessité opérationnelle crée malheureusement une surface d’attaque importante. Les hackers, de plus en plus sophistiqués, savent identifier ces points faibles.

L’alternative proposée : le lending intent-based

Face à ces limitations, Sergej Kunz défend un modèle basé sur les intents. Dans cette approche, prêteurs et emprunteurs signent des termes spécifiques et appariés : collateral, ratio prêt/valeur, taux, durée et déclencheurs d’événements. La custody reste chez les utilisateurs jusqu’au règlement atomique.

Plusieurs avantages émergent de ce système. Chaque prêt devient un contrat discret, évitant ainsi le partage des risques. Il n’y a ni pool partagé, ni courbe de taux complexe comme la slope2, ni gouvernance lente. Les pertes ne sont plus socialisées. Le règlement atomique garantit que les fonds ne bougent qu’en cas d’accord mutuel vérifié.

Pas de pool partagé. Pas de slope2. Pas de gouvernance lente. Pas de perte socialisée. Chaque prêt est un contrat discret.

Sergej Kunz

Cette vision représente un changement paradigmatique. Au lieu de déposer des fonds dans un grand bassin commun, les participants définissent précisément leurs conditions. Les technologies d’intents, déjà utilisées dans les échanges, pourraient s’étendre naturellement au lending.

Contexte plus large des exploits en DeFi

L’incident TrustedVolumes n’est malheureusement pas isolé. On se souvient de l’exploit 1inch Fusion V1 qui avait déjà coûté environ 5 millions de dollars. D’autres protocoles comme Wasabi ont également perdu des sommes importantes suite à des clés admin compromises.

Ces événements successifs soulignent un problème systémique : la complexité croissante des infrastructures DeFi multiplie les points d’entrée pour les attaquants. Les resolveurs, proxies customisés et bridges représentent autant de surfaces d’attaque potentielles. Les équipes de développement doivent désormais prioriser la sécurité par-dessus tout.

Les firmes de sécurité comme Blockaid jouent un rôle crucial en identifiant rapidement les anomalies. Cependant, la prévention reste préférable à la réaction. Cela passe par des audits approfondis, des limitations de permissions et des designs plus robustes dès la conception.

Impact sur les fournisseurs de liquidité et les utilisateurs

Pour les fournisseurs de liquidité, ces incidents représentent un risque majeur. Voir ses positions devenir négatives ou ses fonds bloqués crée une méfiance légitime. Beaucoup pourraient reconsidérer leur participation aux pools traditionnels, surtout après avoir observé des cas comme celui de Kelp DAO.

Les utilisateurs finaux ne sont pas non plus épargnés. La perte de confiance dans les protocoles peut réduire la liquidité globale, augmentant les slippage et les frais. À plus long terme, cela freine l’adoption massive de la DeFi par rapport à la finance traditionnelle.

Pourtant, la DeFi offre des avantages uniques : transparence, accessibilité sans intermédiaire, et innovation constante. Le défi consiste à conserver ces atouts tout en renforçant considérablement la sécurité.

Vers une maturité nécessaire de l’écosystème DeFi

Les débats actuels autour du lending reflètent une maturation de l’écosystème. Après des années d’expérimentation rapide, vient le temps de la consolidation et de l’amélioration des standards de sécurité. Les propositions de Kunz s’inscrivent dans cette dynamique.

Des solutions techniques émergent : contrats plus modulaires, oracles plus fiables, mécanismes d’urgence automatisés, et utilisation accrue des zero-knowledge proofs pour préserver la confidentialité tout en garantissant la sécurité.

Les régulateurs observent également ces évolutions. Bien que la DeFi vise la décentralisation, une meilleure protection des utilisateurs pourrait favoriser une adoption institutionnelle plus large. L’équilibre entre innovation et sécurité reste délicat.

Analyse technique de l’attaque TrustedVolumes

L’attaque a ciblé spécifiquement le setup du custom proxy. Contrairement aux routes standards, ces configurations sur mesure offrent plus de flexibilité mais exigent une vigilance extrême. Les permissions accordées pour permettre des échanges rapides ont probablement été exploitées via une vulnérabilité non détectée.

Ce cas illustre parfaitement pourquoi les audits seuls ne suffisent plus. Des simulations de stress, des bug bounties généreux et des déploiements progressifs deviennent indispensables. La communauté doit également améliorer le partage d’informations sur les menaces identifiées.

Les développeurs de 1inch et TrustedVolumes vont certainement revoir leurs pratiques. Cet incident pourrait accélérer l’adoption de standards plus stricts dans l’ensemble du secteur.

Perspectives futures pour le lending décentralisé

Si le modèle intent-based gagne du terrain, nous pourrions assister à une segmentation du marché. Les utilisateurs sophistiqués opteraient pour des prêts sur mesure tandis que les pools traditionnels resteraient pour les besoins simples de liquidité. Cette diversification pourrait renforcer la résilience globale.

Les protocoles existants vont probablement intégrer des éléments hybrides. Certains maintiennent des pools mais ajoutent des garde-fous plus robustes : limites de retrait progressives, évaluations dynamiques de collateral, ou assurances décentralisées.

L’innovation continue dans les domaines des oracles, des cross-chain messaging et de la programmabilité des intents ouvrira de nouvelles possibilités. La DeFi de demain pourrait ressembler plus à un marché de gré à gré décentralisé qu’à des pools massifs.

Leçons à tirer pour les acteurs du secteur

Premièrement, limiter les permissions des contrats au strict nécessaire. Deuxièmement, multiplier les couches de vérification avant tout mouvement de fonds important. Troisièmement, impliquer davantage la communauté dans la gouvernance de la sécurité.

Les fondateurs et développeurs doivent adopter une mentalité « security-first ». Les investisseurs, quant à eux, devraient examiner attentivement les designs des protocoles avant d’y déposer des fonds. La transparence sur les audits et les mesures de mitigation devient un critère de choix essentiel.

Enfin, les utilisateurs finaux gagnent à diversifier leurs positions et à comprendre les risques spécifiques de chaque protocole. L’éducation reste un pilier fondamental pour une adoption saine.

Conclusion : un tournant potentiel pour la DeFi

L’exploit de TrustedVolumes et les prises de position de Sergej Kunz marquent peut-être un tournant. Ils obligent l’écosystème à passer d’une croissance rapide à une construction plus résiliente. Le lending intent-based n’est pas une solution miracle, mais il propose une direction intéressante vers plus de sécurité et de personnalisation.

La route sera longue. De nombreux défis techniques et d’adoption restent à surmonter. Pourtant, ces débats prouvent que la communauté DeFi reste dynamique et capable d’autocritique. C’est précisément cette capacité d’évolution qui pourrait permettre à la finance décentralisée de tenir ses promesses à long terme.

Les prochains mois seront déterminants. Les protocoles qui sauront intégrer ces leçons de sécurité tout en maintenant une expérience utilisateur fluide prendront probablement l’avantage. Pour les fournisseurs de liquidité comme pour les emprunteurs, l’heure est à la vigilance et à l’innovation responsable.

En attendant, cet incident nous rappelle que dans la DeFi, comme ailleurs, la sécurité n’est jamais définitivement acquise. Elle doit être continuellement repensée, testée et renforcée face à des menaces qui évoluent sans cesse.