DEX Questionnements sur la sécurité : crise de confiance et perspectives du secteur face à la controverse sur le code fermé

Récemment, la plateforme de trading décentralisée à haute performance Hyperliquid a été critiquée publiquement par la personnalité reconnue du secteur Kyle Samani, en raison de la fermeture de son code source et de la concentration du contrôle des nœuds, la qualifiant de représenter « toutes les erreurs du secteur de la cryptographie ».

Cette controverse a rapidement pris de l’ampleur, bien que l’opinion communautaire soutienne majoritairement Hyperliquid, l’événement reflète néanmoins le défi central de confiance auquel font face les échanges décentralisés.

Rétrospective de l’événement : controverse sur la fermeture du code source et réaction du marché

Au début de 2025, les inquiétudes concernant le manque de décentralisation de Hyperliquid ont commencé à se faire entendre dans la communauté. Un employé de ChorusOne, opérateur de nœuds, a indiqué que Hyperliquid fonctionnait avec un « code source fermé », ce qui, selon lui, « enchaînait » en réalité les opérateurs de nœuds.

Ce qui a encore accru les inquiétudes, c’est la donnée montrant que Hyperliquid contrôle 81 % des jetons stakés HYPE. Une analyse a souligné : « Si une seule entité contrôle un tiers du staking, elle peut arrêter la chaîne ; si elle contrôle deux tiers, elle détient le contrôle total du réseau. »

En février de cette année, la critique de Kyle Samani, co-fondateur de Multicoin Capital, a porté la controverse à son paroxysme. Il a publiquement déclaré qu’Hyperliquid représentait « toutes les erreurs du secteur de la cryptographie », en soulignant notamment le départ de ses fondateurs de leur pays d’origine, le code source fermé et la présence de contrôles d’accès.

La réaction du marché face à cette controverse a été rapide et claire. Le prix du jeton HYPE a connu une volatilité notable, chutant de 15 % pendant la période de controverse.

Réponse de l’industrie : défense et engagement d’Hyperliquid

Face aux critiques, l’équipe d’Hyperliquid a répondu via la plateforme X (anciennement Twitter). Concernant la question du code source fermé, l’équipe a expliqué : « Le code des nœuds est actuellement fermé. L’open source est important. Le projet sera open source une fois qu’il sera stabilisé. »

Ils ont également défendu leur position en affirmant que le développement d’Hyperliquid est plusieurs ordres de grandeur plus rapide que celui de la plupart des projets, avec une portée plus large, et ont promis que « le code sera open source lorsque la sécurité sera assurée ».

Pour répondre aux préoccupations concernant la centralisation des nœuds, Hyperliquid a annoncé le lancement d’un « programme de délégation de la fondation » pour soutenir des validateurs à haute performance, afin de renforcer la décentralisation. L’équipe a aussi indiqué que le nombre de validateurs s’étendrait à mesure que le réseau mûrit, garantissant une infrastructure plus décentralisée et résiliente.

Fait intéressant, la communauté cryptographique a exprimé un soutien fort à Hyperliquid. Steven a souligné que Hyperliquid refuse les investissements en capital-risque, a réalisé la plus grande distribution communautaire de l’histoire de la cryptographie (environ 9 milliards de dollars), et que les revenus du protocole sont utilisés pour le rachat plutôt que pour la sortie des fondateurs.

Défis de sécurité : risques multidimensionnels pour les DEX

La controverse autour d’Hyperliquid n’est pas un cas isolé, elle met en lumière les défis systémiques de sécurité auxquels font face les échanges décentralisés. Selon les données de 2025, les attaquants ont extrait plus de 2,3 milliards de dollars de protocoles cryptographiques.

Les vulnérabilités de contrôle d’accès ont causé à elles seules une perte de 1,6 milliard de dollars, devenant le vecteur d’attaque le plus destructeur. Le Top 10 des smart contracts d’OWASP (2025) classe en tête les vulnérabilités de contrôle d’accès, où une mauvaise implémentation des permissions et des vulnérabilités liées à l’accès basé sur les rôles permettent aux attaquants d’obtenir un contrôle non autorisé sur les smart contracts.

La manipulation des oracles de prix a été classée de manière indépendante dans la mise à jour de 2025, reflétant la complexité croissante des attaques exploitant la manipulation des données de prix pour attaquer les protocoles DeFi. Ces attaques sont particulièrement dangereuses car elles exploitent souvent des données hors chaîne sans mécanismes de redondance ou de coupe-circuit.

Les erreurs logiques et les attaques par réentrée restent des menaces persistantes pour les smart contracts. Les développeurs sous-estiment souvent le risque de réentrée, notamment dans les protocoles de yield farming et de prêt, où des interactions complexes avec des tokens peuvent créer des opportunités de rappel inattendues.

Pratiques de sécurité : réponses des DEX leaders du secteur

Face à ces défis de sécurité complexes, les échanges décentralisés leaders ont développé une série de pratiques de sécurité matures. En tant que plateforme décentralisée la plus répandue, Uniswap est déployée sur près de 40 réseaux blockchain, avec une valeur totale verrouillée d’environ 4,98 milliards de dollars.

Uniswap a subi plusieurs audits de sécurité, dispose d’une gouvernance robuste et d’une feuille de route d’innovation continue, notamment avec la sortie prochaine de la version V4, qui devrait introduire des fonctionnalités améliorées telles que des hooks personnalisables, des ordres limités on-chain et une structure de frais dynamique.

PancakeSwap, en tant que plateforme phare de l’écosystème BNB Chain, offre des frais de transaction nettement inférieurs par rapport à ceux basés sur Ethereum. La plateforme a étendu ses fonctionnalités pour inclure le yield farming, une intégration du marché NFT, des marchés de prédiction et des fonctionnalités de jeu dans un écosystème DeFi complet.

Il est également important de noter que Gate, en tant qu’échange de premier plan, attache une grande importance aux pratiques de sécurité. Les informations publiques indiquent que Gate a fait l’objet d’audits par des sociétés de sécurité renommées telles que Hacken, et a mis en place une architecture de sécurité multicouche pour protéger les actifs des utilisateurs.

Évolution des audits : de la vérification du code à la validation normative

Avec l’évolution constante des techniques d’attaque, les audits de sécurité des DEX évoluent d’une simple recherche de vulnérabilités à une approche plus systémique de « conformité normative comme loi ». La philosophie traditionnelle du « code comme loi » évolue vers « normes comme loi ».

Cela signifie que même les attaques innovantes doivent respecter les mêmes propriétés de sécurité pour garantir l’intégrité du système. En 2026, cette transition se manifeste dans la pratique de plusieurs grandes sociétés d’audit.

Des sociétés de renom telles que CertiK, Hacken et Quantstamp combinent vérification mathématique, analyse statique et revue manuelle par des experts pour évaluer la correction et la sécurité des contrats. Ces sociétés ont audité des milliers de projets, protégeant des centaines de milliards de dollars d’actifs numériques.

La revue manuelle du code reste essentielle pour détecter les défauts logiques et les chemins d’attaque complexes. Par ailleurs, la surveillance continue et la capacité de réponse aux incidents deviennent de plus en plus importantes. Certaines sociétés d’audit proposent désormais une surveillance en temps réel sur la chaîne et des outils d’évaluation de sécurité pour suivre les menaces après déploiement.

Conclusion

Pour les échanges décentralisés, établir et maintenir la confiance des utilisateurs nécessite des efforts multidimensionnels. La transparence du code est la base. Bien que des plateformes comme Hyperliquid puissent, pour des raisons de vitesse de développement, retarder l’open source, à long terme, un code open source audité constitue la pierre angulaire de la confiance.

La participation à la gouvernance communautaire est également cruciale. Des plateformes comme Uniswap confient la prise de décisions clés, telles que les mises à jour majeures et l’ajustement des paramètres, aux détenteurs du jeton UNI.

Les audits multiples et les programmes de récompense pour la découverte de vulnérabilités sont devenus la norme dans l’industrie. De nombreuses plateformes ont mis en place des programmes de bug bounty valant plusieurs millions de dollars pour encourager les hackers éthiques à découvrir et signaler les vulnérabilités potentielles.

Les fonds d’assurance et les réserves de risque offrent une dernière ligne de défense en cas de vulnérabilités exploitées ou de conditions de marché extrêmes. Certaines DEX de premier plan ont créé des fonds d’assurance pour protéger les fonds des utilisateurs en cas d’incidents ou de conditions de marché anormales.