Pourquoi les gens se disputent sur les types de portefeuilles en premier lieu
La phrase « not your keys, not your coins » est devenue un cri de ralliement après Mt. Gox en 2014, puis à nouveau après FTX en 2022. Dans les deux cas, les clients d'exchanges centralisés ont découvert que les dépôts étaient prêtés, rehypotéqués ou simplement dépensés avant que les retraits ne cessent de fonctionner. Le slogan saisit correctement un véritable mode de défaillance : lorsqu'un tiers détient vos actifs, vous êtes exposé à la solvabilité, à l'honnêteté et à la compétence opérationnelle de ce tiers.
Mais le slogan a été étiré au-delà de son domaine d'utilité. Il laisse entendre que dès qu'une personne autre que vous détient la clé privée, vos fonds ne sont pas en sécurité. Cela mélange des configurations très différentes. Le compte Binance d'un adolescent, le portefeuille chaud d'une jeune fintech sur un ordinateur partagé et l'allocation d'un fonds de pension détenue par un dépositaire qualifié à New York dans le cadre d'un accord fiduciaire écrit ne sont pas la même configuration, même si les trois impliquent techniquement « quelqu'un d'autre qui détient les clés ».
Cet article présente la matrice de risques réelle derrière le choix entre portefeuille à contrat intelligent et portefeuille de garde. Plutôt que de déclarer un vainqueur, il passe en revue le risque lié au code, le risque de contrepartie, la récupération, l'héritage, la saisie et les erreurs de l'utilisateur, soit les six catégories qui déterminent si vous récupérez réellement vos ETH, USDC ou USDT lorsque quelque chose tourne mal.
La véritable matrice de risques : ce qui peut réellement mal tourner
La plupart des débats sur les portefeuilles se concentrent sur un seul axe, celui de la détention de la clé privée, et ignorent les autres. Une comparaison utile doit évaluer au moins six catégories. Voici le cadre qu'utilise la suite de l'article.
- Risque lié au code. Des bugs dans le contrat intelligent, le SDK du portefeuille ou le schéma de signature sous-jacent peuvent vider les fonds même lorsque l'utilisateur fait tout correctement.
- Risque de contrepartie. Le dépositaire, l'exchange ou le fournisseur de staking devient insolvable, gèle les retraits ou détourne les actifs des clients.
- Risque de gestion des clés. L'utilisateur perd sa phrase de récupération, signe une transaction malveillante ou se fait voler une clé de propriétaire par hameçonnage.
- Risque de récupération. Lorsque l'utilisateur est invalide, décédé ou simplement bloqué, les actifs peuvent-ils encore être atteints par les bonnes personnes ?
- Risque de saisie et de censure. Les gouvernements, les pirates ou les acteurs au niveau de la chaîne peuvent geler ou confisquer des actifs.
- Risque opérationnel. Les erreurs quotidiennes, comme approuver le mauvais contrat, envoyer vers la mauvaise chaîne ou utiliser une extension de navigateur compromise.
Chaque conception de portefeuille, qu'il s'agisse d'un portefeuille matériel exécutant Safe ou d'un dépositaire réglementé détenant des USDC pour une institution, présente un profil différent sur ces six catégories. Choisir l'option « la plus sûre » sans réfléchir aux risques qui comptent le plus pour vous est la raison pour laquelle des personnes finissent par payer 0,8 % par an pour une garde dont elles n'ont pas besoin, ou détiennent des montants à neuf chiffres sur un ordinateur portable sans sauvegarde.
Comment fonctionnent réellement les wallets à smart contract
Un wallet à smart contract n'est pas une clé unique sur un seul appareil. C'est un smart contract déployé sur Ethereum (ou une autre blockchain) qui détient les actifs et applique des règles sur les personnes autorisées à les déplacer. L'exemple le plus largement déployé est Safe (anciennement Gnosis Safe), qui détient des dizaines de milliards de dollars en ETH, USDC et USDT à travers des DAO, des trésors et des utilisateurs individuels.
Comme le wallet est un contrat, vous pouvez le programmer. Les fonctionnalités les plus courantes sont le multisig (par exemple, 3 signataires sur 5 doivent approuver une transaction), les limites de dépenses (un signataire ne peut déplacer que jusqu'à X par jour sans l'approbation complète du multisig), les listes d'autorisation (les transactions ne peuvent aller qu'à des destinations pré-approuvées) et les gardiens (des comptes tiers qui peuvent suspendre ou récupérer le wallet selon des conditions définies).
Les conceptions plus récentes utilisent l'abstraction de compte ERC-4337. Au lieu d'un EOA (compte détenu externement) contrôlé par une clé privée, un wallet 4337 est un compte intelligent dont la logique de signature est entièrement programmable. Cela permet des fonctionnalités impossibles avec un wallet classique : paiement des frais de gaz en USDC au lieu d'en ETH, transactions groupées, clés de session qui expirent, récupération sociale via des amis ou appareils de confiance, et récupération par ZK-email ou ZK-passkey où vous prouvez le contrôle d'un email ou d'une clé matérielle sans que cette clé n'atteigne jamais la blockchain.
Le point essentiel est que « wallet à smart contract » désigne une famille de conceptions, allant d'un Safe 2-sur-3 utilisé par un particulier, à un compte intelligent 4337 avec connexion par passkey et récupération sociale, jusqu'à un trésor multisig géré par une fondation. Elles partagent une propriété : l'utilisateur (ou un ensemble configuré d'utilisateurs) contrôle directement les actifs sans la permission d'aucun intermédiaire.
Comment fonctionnent réellement les wallets de garde
À l'autre extrémité du spectre, un wallet de garde est un wallet dans lequel un tiers détient les clés privées pour votre compte. Cela recouvre trois produits très différents, et la différence compte beaucoup.
La garde par une plateforme d'échange. Un compte retail ou institutionnel sur une plateforme comme Coinbase ou Binance. Les fonds sont mutualisés, souvent re-hypothéqués, et protégés principalement par les contrôles internes de la plateforme et par toute assurance ou tout statut en cas de faillite dont elle dispose. C'est le modèle qui a échoué de la manière la plus spectaculaire : Mt. Gox, Quadriga, FTX, et plusieurs plateformes plus petites.
La garde qualifiée. Un dépositaire spécialisé tel que BitGo, Fireblocks, Anchorage ou Coinbase Custody Trust, réglementé par des cadres comme le BitLicense du Département des services financiers de l'État de New York ou une charte de fiducie auditée SOC 1 / SOC 2. Les actifs des clients sont ségrégués, le dépositaire ne peut pas les prêter sans autorisation explicite, et il existe généralement une assurance ainsi qu'une structure claire d'isolation en cas de faillite.
Une auto-détention au rabais. Des applications comme les wallets mobiles centralisés ou les produits « earn » où le prestataire détient les clés mais l'expérience utilisateur ressemble à de l'auto-détention. La réalité juridique se rapproche plus de la garde par une plateforme d'échange que de la garde qualifiée.
Le débat entre wallet à smart contract et wallet de garde mélange souvent ces trois catégories, ce qui explique pourquoi la discussion devient confuse. Comparer un multisig Safe à une plateforme d'échange offshore aléatoire n'est pas la même comparaison que Safe face à un dépositaire qualifié audité SOC détenant vos USDC en stockage à froid ségrégué.
Risque de code ou risque de contrepartie : le cœur du compromis
Toute décision wallet à smart contract contre wallet de garde finit par se résumer à la question de savoir quel risque vous craignez le plus : un bug dans le code qui détient vos actifs, ou une défaillance de l'entreprise qui détient vos actifs. Les deux sont réels, les deux ont un long historique, et les deux sont mal compris.
À quoi ressemble réellement le risque de code
Safe lui-même a connu des incidents de sécurité. En 2024, une vulnérabilité dans le contrat singleton de Safe a été divulguée et corrigée avant toute exploitation, mais un problème distinct, survenu plus tôt, avait déjà coûté aux utilisateurs des dizaines de millions de dollars dans des attaques par signature falsifiée. Parmi les autres exploits de smart wallets figurent l'attaque de bridge Wintermute en 2022, le compromission de validateurs Ronin en 2022, et la « sortie » de radi.capital en 2024 qui a vidé les wallets des utilisateurs ayant approuvé un module malveillant. Le schéma est récurrent : chaque couche de code, le wallet, les modules, les signataires, l'interface, le RPC, constitue un point de défaillance potentiel, et la composabilité signifie qu'un wallet sûr peut tout de même voir ses fonds vidés si une dApp connectée est malveillante.
À quoi ressemble réellement le risque de contrepartie
Le risque de contrepartie ne se limite pas à « la plateforme vole votre argent ». Il inclut : la plateforme devient insolvable et les actifs des clients sont traités comme faisant partie de la masse de la faillite (FTX), la plateforme gèle les retraits lors d'un hard fork contesté ou d'une action réglementaire, le dépositaire est piraté via le compromission d'un hot wallet, le personnel du dépositaire se compromet, l'assurance du dépositaire exclut en définitive la perte subie, ou la juridiction du dépositaire adopte une loi qui empêche les retraits (les mesures d'urgence prises par le Canada en 2022 contre certains comptes).
Les dépositaires qualifiés réduisent le pire de ces risques en ségréguant les actifs, en se soumettant à des audits, en détenant des assurances, et en opérant sous une licence réglementaire qui donne aux clients une créance plus claire, isolée de la faillite. Ils n'éliminent pas le risque. Fireblocks, Anchorage et BitGo ont tous connu des incidents de sévérité variable, bien qu'aucun à l'échelle de FTX.
La réponse honnête est que les deux types de risque sont importants en valeur absolue, et que la pondération correcte dépend des avoirs. Pour quelques centaines de dollars en ETH, le risque dominant est l'utilisateur qui perd sa phrase de récupération, et non un bug de contrat Safe. Pour des montants à neuf chiffres en USDC, le risque dominant bascule vers un point de défaillance unique dans votre propre processus de gestion des clés ou un bug de smart contract dans le wallet auquel vous faites confiance.
Ce que « not your keys, not your coins » oublie réellement
Le slogan a raison lorsqu'il dit qu'un compte de plateforme d'échange non régulé, non audité et mutualisé n'est pas sûr pour des avoirs significatifs. Il a tort d'étendre cette conclusion à toutes les formes de garde.
La garde qualifiée, au sens juridique, se rapproche davantage d'un compte de courtage dans une banque que du solde Robinhood d'un adolescent. Les actifs des clients sont ségrégués, le dépositaire ne peut pas les mélanger avec sa propre trésorerie, les régulateurs supervisent la solvabilité et les contrôles du dépositaire, et dans de nombreuses juridictions les clients bénéficient d'une créance prioritaire en cas de faillite. La valeur en dollars à risque n'est pas nulle, mais elle est structurée, assurée, auditée et juridiquement opposable. Détenir des USDC chez Anchorage pour la trésorerie d'une entreprise est une proposition fondamentalement différente de détenir des USDC sur une plateforme d'échange étrangère qui les prête.
Le slogan oublie aussi la dimension spécifique à l'actif. USDC et USDT sont des stablecoins dont les émetteurs peuvent geler des adresses spécifiques sur les blockchains sous-jacentes. Un wallet à smart contract détenant des USDC reste soumis à la censure au niveau de l'émetteur, indépendamment de celui qui détient les clés. Un dépositaire détenant des USDC ajoute une couche supplémentaire de contrôle opérationnel, ce qui est parfois une fonctionnalité (une politique d'entreprise où seul le dépositaire peut geler le compte, pas l'utilisateur) et parfois un défaut (le dépositaire gèle le compte de l'utilisateur à la demande d'un régulateur).
Une fois que vous acceptez que le slogan est une règle empirique utile pour les comptes de plateformes d'échange retail plutôt qu'une vérité universelle, la question wallet à smart contract contre wallet de garde devient une question de portefeuille, et non de religion.
Récupération, héritage et la moitié ennuyeuse de l'auto-garde
L'avantage le moins discuté de la garde qualifiée est la succession. Un accord de garde bien rédigé désigne des bénéficiaires, prévoit un fiduciaire et survit au décès ou à l'incapacité du titulaire du compte. Un portefeuille en auto-garde, par défaut, ne le fait pas. Si la phrase de récupération est perdue, les actifs disparaissent. Si le titulaire décède et que personne ne connaît la phrase de récupération, les actifs disparaissent.
Les portefeuilles basés sur des contrats intelligents rattrapent leur retard. Les conceptions ERC-4337 prennent en charge la récupération sociale (un ensemble configuré de gardiens peut faire tourner la clé du propriétaire), la récupération par ZK-email (prouver le contrôle d'un compte e-mail pour récupérer), et la récupération par passkey (une clé matérielle, comme une YubiKey, peut être un facteur). Safe prend en charge un flux de récupération basé sur des gardiens via les modules Zodiac. Ces fonctionnalités sont réelles, mais chacune introduit un nouveau compromis en matière de gestion des clés : chaque gardien est une cible potentielle pour l'ingénierie sociale, chaque mécanisme de récupération est une nouvelle surface d'attaque, et plus vous ajoutez de récupération, plus le portefeuille se rapproche d'un custodian en pratique, simplement avec une moins bonne responsabilisation.
À quoi ressemblent les compromis en pratique
Un schéma raisonnable pour un particulier détenant l'équivalent de quelques dizaines de milliers de dollars en ETH, USDC et USDT est un multisig Safe avec un portefeuille matériel par signataire, plus un plan de récupération documenté (sauvegarde Shamir, instructions dans une enveloppe scellée chez un avocat, ou un produit d'héritage payant comme Casa Relay ou l'intégration institutionnelle d'Anchorage Digital).
Un schéma raisonnable pour une DAO ou trésorerie d'entreprise est un Safe 4-sur-7, avec des clés de signature détenues par des personnes nommées dans différentes juridictions, une politique publique de rotation des signataires et un portefeuille opérationnel distinct avec des plafonds plus bas pour les dépenses courantes.
Un schéma raisonnable pour un fonds ou un family office détenant huit chiffres ou plus est un custodian qualifié détenant l'essentiel en stockage à froid ségrégué, plus une allocation plus petite en auto-garde pour l'usage opérationnel. La répartition exacte dépend de la juridiction, des exigences réglementaires et du coût de la garde (généralement 25 à 100 points de base par an).
Comment choisir la bonne configuration pour votre situation
Pour des avoirs non négligeables, la configuration la plus sûre est rarement un portefeuille unique. C'est un mélange délibéré, avec des réponses explicites à cinq questions.
- Contre quoi je me protège en premier ? Si la menace dominante est vos propres erreurs opérationnelles, la garde qualifiée réduit le rayon de l'impact. Si la menace dominante est la saisie réglementaire ou la défaillance d'une plateforme, l'auto-garde réduit cette surface.
- Qui doit en hériter ? Si la réponse est « une personne ou entité nommée via un processus juridique », une garde qualifiée ou un plan de récupération en auto-garde correctement structuré est nécessaire. Si la réponse est « personne, c'est pour moi et je gérerai », l'auto-garde convient.
- Quel est le coût d'une erreur ? Pour de petits soldes, plus le portefeuille est simple, mieux c'est. Pour de gros soldes, les frais de garde professionnels sont une assurance bon marché.
- Quelle blockchain et quel actif je détiens ? Les actifs de second plan et les ponts concentrent le risque lié aux contrats intelligents. L'ETH, l'USDC et l'USDT sur le mainnet Ethereum ont la liquidité la plus profonde et l'infrastructure la plus auditée, mais ils ont aussi les attaquants les plus sophistiqués.
- Dans quelle juridiction je me trouve ? Les custodians qualifiés basés aux États-Unis ont accès à des structures isolées en cas de faillite auxquelles certains échanges offshore n'ont pas accès. L'inverse peut aussi être vrai pour les utilisateurs de juridictions sanctionnées par les États-Unis.
Si vous partez de zéro, un défaut défendable est : gardez un montant opérationnel dans un smart account 4337 avec une clé matérielle et récupération sociale, gardez l'essentiel des avoirs à long terme dans un multisig Safe avec des signataires géographiquement répartis, et envisagez un custodian qualifié pour tout montant dont la perte changerait votre vie. Le bon ratio dépend de la personne, pas d'un slogan.
Gardez une longueur d'avance sur les risques de sécurité des portefeuilles grâce à un signal plus net
Les risques liés aux portefeuilles en contrats intelligents et à la garde évoluent vite : nouveaux résultats d'audit, nouveaux exploits, nouvelles décisions réglementaires, nouvelles normes de récupération. Suivre l'actualité manuellement, en particulier faire la différence entre un bug d'interface Safe et une vulnérabilité du contrat Safe, est une partie perdue d'avance. Zippfeed met en avant les titres de la sécurité crypto avec une notation de sentiment (bullish, neutral ou bearish) et un score d'importance, pour que vous puissiez distinguer un véritable post-mortem Safe de simples mises à jour produit de routine et réagir avant que le prochain incident n'atteigne votre configuration.
