En 2025, les hacks DeFi ont coûté des milliards de dollars. Dans la majorité des cas, une faille dans un smart contract non-audité ou mal audité était en cause. Un audit de smart contract, c'est un examen du code par des experts en sécurité qui cherchent les vulnérabilités avant que les hackers ne les trouvent. C'est l'équivalent d'une inspection de bâtiment avant d'acheter une maison. Et pourtant, des millions de personnes investissent dans des protocoles sans jamais vérifier si un audit a été fait.
Ce que fait un audit concrètement
Un cabinet d'audit (Certik, Trail of Bits, OpenZeppelin, Consensys Diligence, Pashov) examine le code source du smart contract ligne par ligne. Ils cherchent des vulnérabilités connues : failles de reentrancy, buffer overflows, erreurs de logique dans les calculs de prix, permissions mal configurées, et backdoors potentielles.
Le rapport d'audit classe les problèmes par sévérité : critique (perte de fonds possible), haute (fonctionnement compromis), moyenne (comportement inattendu), et basse (améliorations recommandées). Le protocole corrige ensuite les problèmes et l'auditeur vérifie les corrections. Le rapport final est généralement publié publiquement.
Un audit ne garantit pas la sécurité
C'est le point le plus important à comprendre. Un audit réduit les risques mais ne les élimine pas. Curve Finance a été audité par plusieurs cabinets et a quand même subi un exploit de 70 millions de dollars en juillet 2023, via une faille dans le compilateur Vyper (pas dans le code de Curve lui-même). Ronin Network avait été audité avant le hack de 625 millions de dollars.
Les audits ont des limites : ils testent le code à un moment donné. Si le code est modifié après l'audit (ce qui arrive souvent avec les contrats upgradables), l'audit n'est plus valable. Les interactions entre plusieurs protocoles peuvent aussi créer des vulnérabilités que l'audit d'un seul contrat ne détecte pas.
Comment vérifier un audit
Allez sur le site du protocole et cherchez la section "Security" ou "Audits". Le rapport devrait être disponible en PDF. Vérifiez que le rapport est signé par un cabinet reconnu (pas un "auditeur" inconnu). Vérifiez que la version du code auditée correspond à la version déployée sur la blockchain. Vérifiez que les issues critiques et hautes ont été résolues.
Si le protocole dit "audit en cours" depuis des mois, c'est suspect. Si le protocole n'a pas d'audit du tout, c'est rédhibitoire pour moi. Je ne mets pas d'argent dans un smart contract non-audité, peu importe l'APR promis. Les flash loans et le frontrunning exploitent précisément les failles que les audits sont censés détecter.
Les meilleurs cabinets d'audit
Trail of Bits et OpenZeppelin sont les plus respectés dans l'industrie. Un audit de ces cabinets coûte entre 50 000 et 500 000 $ selon la complexité du code. Certik fait du volume (beaucoup d'audits) mais a été critiqué pour la qualité variable de ses revues. Les audits de cabinets plus petits comme Pashov (partenaire de SushiSwap) ou Spearbit ont aussi bonne réputation.
Un protocole qui investit dans plusieurs audits de cabinets différents montre qu'il prend la sécurité au sérieux. Un protocole qui se contente d'un badge Certik sans publier le rapport détaillé mérite votre scepticisme.
