7 Questions à Poser Avant de Déposer dans un Projet DeFi
La plupart des gens ignorent ces questions et perdent de l'argent. Sept vérifications qui distinguent les protocoles durables des arnaques.
7 Questions à Poser Avant de Déposer dans un Projet DeFi
Des milliers de protocoles DeFi sont lancés chaque année. La plupart échouent. Quelques-uns prospèrent. La différence entre les deux est généralement visible — si vous savez quoi chercher.
Ce post n'est pas un argument de vente. C'est une liste de contrôle. L'objectif est de vous donner un cadre reproductible que vous pouvez appliquer à n'importe quel protocole que vous évaluez — TurboLoop, la prochaine ferme qui apparaît sur votre timeline, ou une chaîne dont vous n'avez jamais entendu parler. Nous utilisons TurboLoop comme exemple à la fin, mais les questions sont importantes en elles-mêmes. Si un protocole ne peut pas répondre clairement à toutes les huit, la réponse est de s'éloigner, quel que soit le nom de la marque sur la page d'accueil.
Une note rapide avant la liste de contrôle : passer chaque question ci-dessous n'élimine pas le risque. Les contrats intelligents peuvent avoir des bugs non découverts. Les oracles peuvent échouer. Les marchés peuvent aller à l'encontre d'une stratégie. Ce que la liste de contrôle fait, c'est réduire fortement la probabilité de perte catastrophique — le rug, l'exploit, la lente érosion. Vous êtes toujours responsable de dimensionner les positions de manière sensée et de faire votre propre diligence.
La liste de contrôle de diligence DeFi en 8 questions
1. Le contrat est-il audité — et pouvez-vous lire le rapport ?
La première question est la plus facile à falsifier. Chaque projet dit "audité". Beaucoup moins peuvent produire un rapport.
Quand vous demandez "est-il audité", vous posez en réalité trois sous-questions :
- Qui a réalisé l'audit ? Une entreprise reconnue avec des engagements publics, ou une boutique inconnue dont le site web a trois mois ? Recherchez le nom de l'auditeur sur X, GitHub, et leur liste de clients précédents.
- Le rapport complet est-il public ? Pas un résumé d'une page. Le véritable PDF, avec les conclusions, les évaluations de gravité, et les réponses de l'équipe. Si un projet ne partage pas le rapport, considérez cela comme un "non".
- Les conclusions ont-elles été résolues ? Les audits révèlent presque toujours des problèmes. La question est de savoir si l'équipe a corrigé les conclusions élevées et critiques avant le lancement, et si les corrections ont été revues.
Un truc utile : ouvrez le rapport et passez aux sections "Élevé" et "Critique". Si vous voyez une longue liste sans notes "résolu" ou "reconnu avec atténuation", c'est un problème. Si le rapport est principalement informatif et contient des notes d'optimisation du gaz, c'est un signal plus sain.
Pour un guide plus approfondi sur la façon de vérifier un contrat vous-même, voir vérification d'un contrat DeFi sur BscScan.
2. La propriété est-elle renoncée ? Vérifiez sur l'explorateur de blocs
Un contrat dont le propriétaire est encore un portefeuille contrôlé par l'équipe est un contrat que l'équipe peut modifier. Ils peuvent changer les frais. Ils peuvent suspendre les retraits. Ils peuvent — dans le pire des cas — frapper des jetons ou mettre à jour la logique.
Voici comment vérifier, étape par étape :
- Ouvrez le contrat sur BscScan ou Etherscan.
- Cliquez sur l'onglet Contract, puis Read Contract.
- Trouvez la fonction
owner()et cliquez dessus. - Lisez l'adresse qu'elle renvoie.
Si l'adresse est 0x0000000000000000000000000000000000000000 (l'adresse de brûlage), le contrat est immuable — même l'équipe ne peut pas le modifier. Si l'adresse est autre chose, l'équipe conserve le contrôle.
Soyez prudent avec deux modèles qui ressemblent à une renonciation mais ne le sont pas :
- Propriétaire multisig. Un multisig est meilleur qu'un portefeuille unique, mais le contrat est toujours modifiable. L'équipe peut toujours tirer les ficelles ; ils ont juste besoin de plus de signatures.
- Propriétaire avec délai. Un délai retarde les modifications d'une fenêtre fixe. Utile pour la sécurité, mais le propriétaire est toujours fonctionnel.
Aucun n'est automatiquement mauvais — mais aucun n'est équivalent à une véritable renonciation 0x00...00. Sachez lequel vous regardez.
3. D'où vient le rendement ?
C'est la question qui filtre le plus grand nombre de mauvais protocoles. Chaque rendement a une source. Il n'y a que quatre réponses honnêtes :
- Frais de trading ou de swap d'un produit de trading réel et utilisé.
- Intérêts de prêt payés par de vrais emprunteurs.
- Revenus externes — remboursements de gaz, capture MEV, actifs du monde réel, rendement du trésor.
- Récompenses de validation/staking pour sécuriser une chaîne.
Il y a aussi une réponse malhonnête qui est déguisée de nombreuses manières : le rendement provient de nouveaux dépôts. Si "l'intérêt" de l'utilisateur A est payé par le principal de l'utilisateur B, vous regardez un Ponzi. Peu importe à quel point l'interface utilisateur est élégante.
Testez-le vous-même. Lisez les documents et trouvez la phrase qui explique la source du rendement. Si vous ne pouvez pas réduire cette phrase à l'une des quatre catégories honnêtes, demandez à la communauté. Si vous ne pouvez pas obtenir une réponse claire, la réponse est "nouveaux dépôts".
4. Le LP est-il verrouillé ? Où ? Pour combien de temps ?
Pour les protocoles qui impliquent un jeton ou un pool de liquidité, le verrouillage du LP est crucial. "LP" — pool de liquidité — est la paire de jetons qui permet aux gens de trader. Si l'équipe détient les jetons LP, elle peut retirer la liquidité à tout moment et faire chuter le prix à zéro. C'est le rug classique.
Posez trois sous-questions :
- Quelle partie du LP est verrouillée ? 100% est la norme pour un protocole crédible. Moins signifie qu'une partie peut être retirée.
- Où est le contrat de verrouillage ? Les lockers réputés incluent UNCX, Team Finance, et Mudra. Vérifiez le verrouillage sur le tableau de bord du locker, pas seulement sur le site du projet.
- Pour combien de temps ? Les verrouillages de moins d'un an sont faibles. Les verrouillages pluriannuels signalent un engagement. Les verrouillages permanents (envoyés à une adresse de brûlage) sont la norme d'or.
Pour un traitement beaucoup plus approfondi de pourquoi cela importe, lisez LP lock expliqué — pourquoi la sécurité de la liquidité est importante.
5. Les identités de l'équipe sont-elles connues — et cela a-t-il de l'importance ?
Les équipes anonymes ne sont pas automatiquement mauvaises. Certains des meilleurs protocoles dans DeFi ont été construits par des anonymes. Mais les équipes anonymes augmentent la barre pour chaque autre question de cette liste de contrôle. Si vous ne savez pas qui est derrière le protocole, vous vous fiez entièrement au code, aux audits, au statut de renonciation et au verrouillage. Ces éléments doivent être infaillibles.
Pour les équipes doxxées, faites une diligence de base. Recherchez les fondateurs sur LinkedIn, X, et GitHub. Vérifiez les projets précédents — réussis et échoués. Une équipe avec une longue histoire traçable dans l'espace est matériellement plus sûre qu'une équipe apparue il y a trois mois.
Un heuristique utile : un projet devrait être soit doxxé soit entièrement audité et renoncé. Les combinaisons qui devraient vous rendre nerveux sont les équipes anonymes sans audit, ou les équipes doxxées dont le code n'a jamais été revu.
6. Le jeton (ou le jeton LP) est-il vérifiable sur un explorateur de blocs ?
Un contrat vérifié sur BscScan ou Etherscan signifie que l'équipe a téléchargé le code source et que l'explorateur a confirmé qu'il correspond au bytecode déployé. Cela permet à quiconque — vous, un auditeur, un chercheur curieux — de lire le code réel, pas seulement le bytecode.
Si le contrat n'est pas vérifié, considérez cela comme un drapeau rouge. Il n'y a aucune bonne raison pour
un protocole lancé pour laisser son contrat non vérifié. Cela ne coûte rien et prend quelques minutes.
Pendant que vous êtes sur l'explorateur, vérifiez également :
- Répartition des détenteurs. Une poignée de portefeuilles détenant 90 % est un signe d'avertissement.
- Transactions récentes. Y a-t-il de vrais utilisateurs, ou juste l'équipe et quelques bots ?
- Date de création du contrat. Un projet "nouveau" dont le contrat a été déployé il y a deux ans et est resté inactif est suspect. Tout comme un contrat déployé hier avec 10M$ de TVL.
7. Les calculs sont-ils cohérents ?
C'est la question que la plupart des utilisateurs de détail ignorent et que la plupart des professionnels posent en premier. Regardez le rendement annoncé et demandez-vous : où le protocole devrait-il trouver cet argent ?
Un test approximatif : prenez la valeur totale verrouillée, multipliez par le ROI annoncé, et c'est l'obligation de rendement du protocole sur la période du plan. Ensuite, examinez les sources de revenus et demandez-vous si ces sources peuvent raisonnablement produire autant de revenus.
Si un protocole a 50M$ de TVL et paie 30 % sur une période spécifique, il a besoin de 15M$ de revenus réels pour que cette période soit durable. Le volume de trading le soutient-il ? Le livre de prêts le soutient-il ? Y a-t-il des sources externes ? Si les chiffres ne s'additionnent pas, le protocole emprunte aux nouveaux dépôts pour payer les anciens. C'est une question de quand, pas de si.
8. Que disent les signaux de la communauté sur plusieurs plateformes ?
La vérification finale est qualitative mais importante. Les protocoles sains ont des communautés qui :
- S'étendent sur plusieurs plateformes — Telegram, X, Discord, canaux régionaux — pas seulement un groupe de promotion.
- S'étendent sur plusieurs langues et régions. Une base d'utilisateurs mondiale est plus difficile à simuler qu'un seul groupe de promotion en anglais.
- Posent des questions difficiles et obtiennent de vraies réponses de l'équipe.
- Incluent des détenteurs à long terme qui sont présents depuis des mois ou des années, pas seulement des posts "Je viens juste d'entrer".
Visitez le Telegram à un moment aléatoire de la journée. Est-il actif à travers les fuseaux horaires, ou tout le monde dort-il quand l'Amérique du Nord dort ? Y a-t-il une culture de modération qui bannit les questions honnêtes, ou les questions difficiles reçoivent-elles un véritable engagement ?
L'exemple appliqué : appliquer la liste de contrôle à TurboLoop
Examinons les huit questions sur TurboLoop et voyons ce qui en ressort.
- Audité ? Oui. Rapport public. Voir la page de sécurité pour le rapport complet et un résumé en langage clair dans le dossier approfondi sur la sécurité.
- Propriété renoncée ? Oui. Vérifiable sur BscScan via
owner()→0x00...00. - Source de rendement ? Revenus réels et externes. Récompenses LP du pool USDC/USDT, frais de Turbo Swap et frais de Turbo Buy. Les nouveaux dépôts ne sont pas utilisés pour payer les déposants existants — les Loop Plans versent des rendements fixes et prédéfinis financés par les revenus continus du protocole.
- LP verrouillé ? 100 % verrouillé. Vérifiable sur la chaîne.
- Identité de l'équipe ? Historique public de l'équipe, avec un parcours visible à travers l'écosystème.
- Jeton / contrat vérifiable ? Oui. Vérifié sur BscScan.
- Les calculs sont-ils cohérents ? Oui. Les deux Loop Plans sont fixes et immuables : Power Loop paie un ROI quotidien de 3 % pendant 10 jours, et Ultimate Loop paie un ROI quotidien de 10 % pendant 10 jours. Le dépôt minimum est de 100 USDT sur BSC. Ce sont des rendements basés sur une période définie, financés par de vrais revenus de frais, et non des promesses ouvertes de "1 % par jour pour toujours". Le protocole a également publié un Défi de 100K$ invitant quiconque à trouver une vulnérabilité.
- Signaux de la communauté ? Communauté engagée à travers plusieurs régions et langues, active à travers les fuseaux horaires.
Huit sur huit. Voilà à quoi ressemble un protocole qui passe la liste de contrôle.
Une note de clôture sur le risque résiduel
Passer cette liste de contrôle est nécessaire, mais pas suffisant. Les contrats intelligents peuvent avoir des bugs que les auditeurs manquent. Les marchés peuvent bouger. Les stablecoins peuvent se désarrimer. La présentation honnête est que cette liste de contrôle filtre les mauvais acteurs évidents et les modèles non durables — elle n'élimine pas le risque. Ajustez vos positions en conséquence, ne déposez jamais d'argent que vous ne pouvez pas vous permettre de verrouiller pour la durée complète du plan choisi, et vérifiez tout sur la chaîne vous-même plutôt que de faire confiance à une seule source — y compris ce post.
Le but de la liste de contrôle n'est pas de trouver le protocole "parfait". Il s'agit de refuser de déposer dans des protocoles qui ne peuvent pas répondre clairement à ces huit questions. Cette discipline unique économisera plus d'argent que toute stratégie de chasse au rendement n'en a jamais rapporté.