Note de la rédaction : Chaos Labs annonce la cessation volontaire de son partenariat de gestion des risques avec Aave et cherche à mettre fin anticipativement à cette relation de licence. Ce départ intervient au moment où Aave avance vers la重构 de son architecture V4 et son expansion institutionnelle, alors que Chaos Labs était l'équipe centrale ayant fourni, pendant les trois dernières années, le pricing et la gestion des risques pour tous les marchés V2 et V3 d'Aave.

Dans son explication, Chaos Labs souligne que cette décision ne découle pas d'un désaccord budgétaire à court terme, mais d'un écart fondamental entre les deux parties sur la question de la manière dont le risque devrait être géré. Avec la perte de contributeurs clés, l'augmentation de la complexité du système et la refonte architecturale apportée par V4, les responsabilités et les coûts liés à la gestion des risques ont considérablement augmenté, sans que les ressources allouées ni les priorités ne soient ajustées en conséquence.

L'article souligne également que, dans le processus progressif d'attractivité des fonds institutionnels vers le DeFi, l'historique des risques est devenu le « actif d'accès » le plus crucial. Lorsque les protocoles doivent gérer à la fois des structures systémiques plus complexes et des exigences de conformité plus strictes, les risques ne sont plus seulement une question technique, mais une capacité fondamentale déterminant leur capacité à fonctionner durablement.

Lorsque le DeFi entre dans sa prochaine phase, où le risque doit-il être placé, et la industrie est-elle prête à en assumer les coûts correspondants ?

Voici le texte original :

Depuis novembre 2022, Chaos Labs a fixé les prix pour chaque prêt lancé sur Aave et géré les risques de tous les marchés Aave V2 et V3 sur divers réseaux, sans subir aucun impayé ayant un impact significatif.

Pendant cette période, le total value locked (TVL) d'Aave est passé de 5,2 milliards de dollars à plus de 26 milliards de dollars, avec un volume total de dépôts dépassant 2,5 billions de dollars et plus de 2 milliards de dollars en liquidations effectuées.

Aujourd'hui, nous avons décidé de mettre fin activement à cette relation d'autorisation et de rechercher une résiliation anticipée de notre collaboration.

Cette décision n'a pas été prise à la légère. Nous avons toujours collaboré de bonne foi avec les contributeurs du DAO, et Aave Labs a également maintenu un professionnalisme constant, augmentant même le budget à 5 millions de dollars pour nous retenir. Toutefois, nous avons choisi de partir parce que ce partenariat ne correspond plus à notre compréhension fondamentale de la manière dont les risques doivent être gérés.

Bien que les deux parties diffèrent sur la trajectoire future, je pense que Aave Labs agit selon ce qu'elle considère comme le meilleur intérêt pour Aave.

Pourquoi avons-nous choisi de partir

Au cours des trois dernières années, nous avons traversé de nombreuses crises de marché avec Aave — des moments qui ont presque testé chaque paramètre que nous avons défini et chaque modèle d'apprentissage automatique que nous avons construit.

Lors de notre intégration, les dépenses nettes annuelles du DAO étaient de -35 millions de dollars ; il y a quelques mois, elles avaient atteint un pic de 150 millions de dollars. Tout au long de ce processus, nous avons ressenti une véritable fierté en tant que l'un des contributeurs clés.

Les gens ne renoncent pas facilement à une telle expérience. Ainsi, dans un souci de transparence et dans l'espoir de fournir des références pour l'avenir du DAO, nous expliquons ici les raisons.

Les fonds peuvent résoudre de nombreux problèmes, mais pas tous. Le problème plus profond réside dans une divergence structurelle entre les deux parties sur la question fondamentale de la gestion des risques. Cette divergence devient de plus en plus claire au fur et à mesure des discussions continues sur la trajectoire future.

Au fond, la question se résume à trois points :

Le départ des contributeurs clés d'Aave a considérablement augmenté la charge de travail et les risques opérationnels ;

Le déploiement de V4 élargit la portée des fonctions de gestion des risques en ajoutant des responsabilités opérationnelles et juridiques, mais son architecture n'a pas été conçue par nous et ne correspond pas à notre approche de conception ;

Au cours des trois dernières années, nous avons assumé la gestion des risques d’Aave avec des pertes. Même avec une augmentation du budget de 1 million de dollars, l’ensemble restera en mode de fonctionnement à perte.

Cela signifie qu'il ne reste que deux choix, et nous ne pouvons en accepter aucun :

Faire de son mieux dans des conditions de ressources limitées, mais ne pas atteindre les normes de gestion des risques attendues d'une « application DeFi la plus grande au monde » ;

Continuer à subventionner les opérations à risque d'Aave avec ses propres fonds, en supportant continuellement des pertes.

Même si les problèmes économiques sont résolus, les divergences entre les deux parties concernant les priorités et les méthodes de gestion des risques persistent, et celles-ci ne peuvent pas être résolues simplement par une augmentation du budget.

But none of this will change our perspective on this work.

Pour Chaos Labs, contribuer à Aave a toujours été un honneur et une responsabilité sérieuse. Notre réputation repose sur notre historique. Chaque collaboration est soit réalisée selon les normes attendues, soit pas du tout.

Aave est une excellente marque. Son leadership ne provient pas des fonctionnalités les plus spectaculaires ni des stratégies de croissance les plus agressives.

Ce qui assure réellement à Aave un avantage durable, c'est sa « fiabilité ». La marque et l'humeur du marché ne sont, en essence, que des reflets retardés de sa performance, de sa sécurité et de ses capacités de gestion des risques — particulièrement dans des environnements de marché extrêmes qui éliminent d'autres participants. C'est sur cette base que le consensus « Just Use Aave » s'est progressivement établi.

Les concurrents ont lancé des mécanismes et des stratégies de croissance plus agressifs, mais ont tous été confrontés à des échecs successifs en raison de mauvaises gestion des risques ou de vulnérabilités de sécurité. Dans un marché composé des actifs les plus volatils au monde, la « capacité à survivre » est en soi un produit. Celui qui gère le mieux et le plus longtemps les risques remporte la partie.

L'innovation véritable d'Aave réside dans des domaines que de nombreux protocoles ignorent : les processus et l'infrastructure. Nous avons conçu et lancé pour la première fois sur Aave les Risk Oracles, permettant au protocole de s'auto-réparer et de mettre à jour ses paramètres en temps réel en fonction des conditions de marché dynamiques et fortement volatiles. Cette infrastructure soutient l'extension d'Aave à plus de 250 marchés sur 19 chaînes de blocs, gérant des centaines de mises à jour de paramètres mensuelles tout en maintenant des normes opérationnelles rigoureuses, ce qui a forgé la confiance dont il jouit aujourd'hui.

Cette rigueur provient d’un système de collaboration et d’une pile d’exécution spécifiques : ACI gère la croissance et la gouvernance (@Marczeller), TokenLogic gère la gestion et la croissance des fonds (@Token_Logic), BGD gère l’ingénierie du protocole (@bgdlabs), et Chaos Labs gère la gestion des risques.

La marque est la partie visible par le public ; ce qui la rend véritablement digne d’être vue, c’est les personnes, la technologie et l’expérience opérationnelle qui se trouvent derrière.

Notre contribution va bien au-delà de la gestion des risques.

Au cours des dernières années, l'industrie des cryptomonnaies a rapidement connu une institutionalisation. Les plus grandes institutions financières mondiales commencent à intégrer la DeFi, mais quel que soit le rendement réel offert par la « mise sur chaîne », il est sans importance si les institutions craignent que les fonds de leurs clients puissent être compromis. Pour toute entité réglementée, toute discussion commence et se termine par le risque. Un rendement légèrement supérieur ne vaut jamais la peine de risquer le capital. Les institutions recherchent des rendements ajustés au risque, et elles n'alloceront pas de fonds à un protocole qu'elles ne peuvent pas expliquer clairement à leur équipe de conformité.

C’est pourquoi le dossier de risque d’Aave devient son actif GTM le plus important. En tant que constructeurs de ce dossier, nous sommes ainsi en mesure de dialoguer directement avec ces institutions. À la demande d’Aave Labs, nous avons assumé ce rôle en rencontrant des partenaires dans le monde entier, en produisant des études et des documents de due diligence, et en participant personnellement à l’expansion institutionnelle d’Aave. Nous espérons également que le DAO continuera à bénéficier de ces acquis au cours des prochains mois.

Le bateau de Thésée

Si chaque planche d’un navire est remplacée, est-il toujours le même navire ? Le nom n’a pas changé, le drapeau n’a pas changé, mais la base est désormais différente.

Aave se trouve actuellement dans cet état. Les contributeurs principaux ayant construit et exploité V3 ont quitté le projet, emportant avec eux l'expérience opérationnelle qui a soutenu Aave à travers les cycles du marché au cours des trois dernières années.

Nous sommes le dernier contributeur technique encore actif dans ce groupe.

V3 reste toujours l'application la plus importante dans le domaine DeFi et nécessite une gestion des risques 7×24×365. Bien qu'Aave Labs soit optimiste quant à une migration rapide vers V4, l'histoire montre que ce type de migration prend souvent plusieurs mois, voire plusieurs années. Avant que V4 ne prenne entièrement en charge le marché et la liquidité de V3, les deux systèmes devront fonctionner en parallèle. Le travail ne sera pas divisé par deux, mais doublé.

Plus important encore, c’est l’expérience opérationnelle. Même en supposant que les équipes aient des compétences identiques, l’expérience accumulée au cours de trois ans d’exploitation continue ne peut pas être transférée directement lors d’un passage de relais.

Combien de temps faudra-t-il pour combler ce fossé ? La réponse n’est évidemment pas « zéro ». Avant que ce fossé ne disparaisse, quelqu’un devra assumer ce coût — et cette responsabilité repose presque entièrement sur nous, alors que le budget est déjà insuffisant dans un contexte d’élargissement.

La continuité de la marque ne correspond pas à la continuité du système.

V4 est un tout nouveau protocole de prêt, doté d'un code de contrat intelligent, d'une architecture système et d'un paradigme de conception entièrement nouveaux. À part son nom, il n'a presque rien en commun avec Aave V3.

Les changements au niveau de l'architecture affectent directement les risques : une dépendance accrue entre marchés et modules, une nouvelle structure de crédit, ainsi qu'une logique de liquidation ajustée. Les risques « de second ordre » de tout nouveau protocole ne se manifestent progressivement qu'après l'entrée de fonds réels dans le système.

Reprendre ce système de manière responsable signifie reconstruire les infrastructures, la chaîne d'outils et les systèmes de simulation, puis reprendre entièrement l'exploitation de zéro à un sur une base de code non éprouvée sur le marché. Cette portée dépasse largement celle de V3, et c'est là le cœur de notre décision.

Le risque est en aval de l’architecture. Lorsqu’une modification fondamentale est apportée à l’architecture, la gestion des risques doit elle-même être restructurée. Contrairement à des « services standardisés » tels que les oracles de prix ou la preuve de réserve, Risk Oracle et ses systèmes associés doivent être personnalisés en fonction de l’architecture spécifique du protocole. Une fois l’architecture réécrite, l’infrastructure de gestion des risques doit être reconstruite.

Le problème est que la portée a considérablement augmenté, mais les ressources n'ont pas augmenté en conséquence. Aave Labs pourrait accepter ce compromis, mais nous ne pouvons pas.

Nous avons renoncé à un partenariat historiquement performant de 5 millions de dollars. Pour une startup, ce n'est certainement pas un choix léger, et mérite donc un contexte plus complet.

La rémunération n'est qu'une partie de l'histoire ; ce qui compte davantage, c'est un signal : la quantité de ressources qu'une organisation consacre au risque reflète sa priorité en matière de risque.

En même temps, je pense que peu de personnes comprennent réellement le coût réel, les dépenses réelles et les risques assumés par ce type de système. Je souhaite donc clarifier ces points ici.

Il est important de préciser que le DAO a entièrement le droit de décider de ce qu'il valorise et de combien il est prêt à payer pour cela. Je n'ai aucune objection à ce sujet. Mon rôle consiste simplement à évaluer si ces conditions nous conviennent — et cette fois-ci, elles ne nous conviennent pas.

Aave se compare souvent à une banque, et nous utilisons cette même norme pour l'évaluer. Les banques consacrent généralement 6 % à 10 % de leurs revenus à la conformité et à l'infrastructure de gestion des risques. En 2025, les revenus d'Aave s'élèvent à 142 millions de dollars américains, tandis que notre budget s'élève à 3 millions de dollars américains, soit environ 2 %.

Nous estimons que le budget de risque minimal pour V3 + V4 devrait être de 8 millions de dollars américains, afin de couvrir un éventail de risques plus large, des infrastructures supplémentaires et les travaux GTM déjà assumés, soit environ 5,6 % des revenus, toujours inférieur à la limite inférieure des banques.

Cette comparaison est même peut-être trop « laxiste ». L'ouverture de la blockchain rend les risques de marché et les risques de sécurité réseau plus complexes et plus asymétriques. La transparence et l'open source des protocoles signifient que les surfaces d'attaque sont visibles pour tous. Une série d'attaques récentes a démontré que ce n'est pas un risque théorique. Nous estimons que le DeFi devrait consacrer davantage de ressources à la gestion des risques que le finance traditionnelle, et non moins.

Of course, Aave's scale is nearly unmatched in DeFi; banks serve only as a reference point to understand how much institutions that take risk seriously typically invest. Whether a protocol "has the capacity" to invest in risk is two different things from whether it "chooses to" do so.

Pour Aave, les capacités ne sont pas un problème : le DAO détient environ 140 millions de dollars en réserves, et Aave Labs vient également d'adopter une proposition de financement autonome de 50 millions de dollars. Mais même en cas de ressources limitées, le coût de la gestion des risques ne change pas. Le budget ne peut pas redéfinir la structure des menaces — un coût reste un coût.

Le personnel et les infrastructures ne représentent que les coûts explicites ; il existe également des coûts implicites plus difficiles à quantifier, mais qu'il faut assumer.

Premièrement, il y a les risques juridiques et institutionnels. Dans le DeFi, exercer une fonction de gestion des risques (que ce soit en tant que gestionnaire de risques ou de trésorerie) implique de faire face à des limites de responsabilité encore mal définies. Il n’existe pas de cadre réglementaire mature, pas de « safe harbor », ni de définition juridique claire quant aux responsabilités que doit assumer le gestionnaire de risques en cas d’échec du protocole. Lorsque le système fonctionne normalement, ces tâches sont « invisibles » ; mais dès qu’un problème survient, la responsabilité ne disparaît pas.

Deuxièmement, la sécurité du réseau et des opérations. Fournir des services de gestion des risques pour un protocole gérant des centaines de milliards de dollars en actifs le rend automatiquement une cible d'attaques. Les coûts de mise en place de l'audit, de la surveillance, de l'infrastructure et du système de contrôle interne augmentent en parallèle avec le volume des dépôts des utilisateurs.

Ces coûts ne nous sont pas propres. Toute équipe assumant ce rôle à cette échelle fera face aux mêmes expositions. La question est de savoir si cette structure de collaboration reflète bien cette réalité.

Si les gains à la hausse sont limités et les risques à la baisse infinis, alors continuer n'est pas une question de « conviction », mais plutôt une mauvaise gestion des risques.

Nos principes

Chez Chaos, nous adhérons toujours à un principe simple : ne signer que le travail que nous reconnaissons pleinement.

Il est facile de suivre ce principe lorsque tout se passe bien ; ce qui compte vraiment, c’est lorsqu’il faut en payer le prix. Aujourd’hui, ce prix s’élève à 5 millions de dollars.

J'ai déjà écrit dans The Market Crypto Never Built à quoi devrait ressembler une gestion des risques de niveau institutionnel. Cette décision est la concrétisation de cette croyance dans la réalité. Si nous affirmons que l'industrie nécessite des normes plus élevées, nous devons d'abord nous appliquer ces normes à nous-mêmes.

J'espère que V4 réussira. Si nos préoccupations s'avèrent exagérées, ce sera une bonne chose pour l'ensemble de l'industrie.

À la communauté Aave : Merci pour votre confiance au cours de cette période, ce fut un honneur pour nous.