« L'assurance est une pure escroquerie », c'est à peu près le consensus de tous les acteurs du marché.
Cette pensée n'est pas sans fondement. Cigna, une compagnie d'assurance américaine, a développé un algorithme permettant de refuser des remboursements sans même consulter les dossiers médicaux. UnitedHealth a simplement arrêté de couvrir des frais de soins à l'expiration d'un délai défini par algorithme, ignorant totalement les avis des médecins traitants. Le modèle économique traditionnel de l'assurance a toujours été le même : prélever les fonds des clients, en garder une part substantielle, puis multiplier les obstacles pour empêcher l'indemnisation.
Aujourd'hui, les dépôts bancaires sont certes garantis par la Federal Deposit Insurance Corporation (FDIC), mais la limite d'indemnisation n'est que de 250 000 dollars, un seuil établi en 1934 et pratiquement inchangé depuis. Les comptes de courtage sont protégés par la Securities Investor Protection Corporation (SIPC), avec une limite de 500 000 dollars. Une fois cette somme dépassée, la garantie devient illusoire. La perception publique de la protection offerte est bien supérieure à la réalité, et les plafonds d'indemnisation sont fixés unilatéralement par les assureurs.
L'assurance DeFi avait pourtant le potentiel de résoudre radicalement ce problème : supprimer les intermédiaires, exécuter automatiquement les indemnités dès que les conditions prédéfinies dans un smart contract sont remplies, éliminant ainsi tout risque de refus malveillant.
Mais la réalité est que presque personne n'achète. Les primes d'assurance grèvent lourdement les rendements, et après leur déduction, le gain net ne compense plus le risque pris par l'investisseur.
Cet article explique cette situation de marché et pourquoi, même si chacun souhaite résoudre le problème, les obstacles fondamentaux restent difficiles à surmonter.
Nexus Mutual est le plus grand fournisseur d'assurance DeFi actuellement. Depuis son lancement en 2019, le montant total des indemnités versées dépasse à peine 18 millions de dollars.
En avril 2026, Kelp DAO a subi une attaque de pirate, avec des pertes atteignant 292 millions de dollars. À elle seule, cette perte équivaut à 16 fois le montant total indemnisé par ce leader du secteur sur sept ans.
Cela crée un contraste saisissant avec la situation traditionnelle où les assureurs refusent systématiquement les remboursements. Les assureurs traditionnels perçoivent des primes élevées tout en mettant tout en œuvre pour bloquer les indemnisations ; les assureurs DeFi, eux, perçoivent des primes dérisoires, car la source du problème est qu'aucun investisseur ne souhaite s'assurer.
L'assurance traditionnelle fonctionne parce que les risques ne sont pas corrélés. L'incendie d'une maison n'affecte pas les maisons voisines. Un assureur peut vendre des polices à un million de clients, et une seule indemnisation incendie peut être couverte par les primes de tous. Mais en DeFi, cette isolation des risques n'existe pas : une défaillance d'oracle, une vulnérabilité de pont inter-chaînes, etc., peuvent avoir un effet domino sur tous les pools de liquidités et protocoles de prêt construits sur ces actifs sous-jacents. L'événement de décrochage de l'USDC en mars 2023 a immédiatement affecté tous les protocoles utilisant l'USDC comme collatéral. Pour un pool d'assurance DeFi, les risques sont fortement corrélés. Les assureurs doivent parier que les pertes dues à un incident de sécurité resteront contrôlables et que les fonds du pool seront suffisants pour les couvrir.
En mars 2023, le piratage d'Euler Finance pour 197 millions de dollars a rapidement propagé le risque : Angle Protocol a perdu 17 millions de dollars en détenant des jetons de liquidité Euler, Yield Protocol a arrêté ses activités en urgence, et d'autres plateformes comme Inverse Finance ont également été touchées.
Dès qu'une vulnérabilité apparaît dans un protocole, elle affecte souvent plusieurs projets. Un incident extrême sur une seule journée pourrait vider toutes les réserves d'indemnisation d'un pool d'assurance.
J'ai compilé les taux de prime actuels de Nexus Mutual et InsurAce, et les ai comparés aux rendements annuels natifs des protocoles qu'ils couvrent : Le rendement annuel d'un dépôt USDC sur Aave V3 est d'environ 3,14%. La prime d'assurance varie entre 1,5% et 2,5%. Après déduction de la prime, le rendement net n'est plus que de 0,6% à 1,6%. Les investisseurs prennent le risque de sécurité on-chain pour un gain final à peine supérieur à un simple dépôt bancaire.
La situation est similaire pour Morpho, Compound et Spark : rendements natifs de 3,5% à 4%, les primes engloutissant entre un tiers et la moitié des gains. Le profit est maigre et le rapport qualité-prix très faible.
Les pools de prêt institutionnels de Maple Finance offrent un rendement annuel de 4,77% à 4,90%, mais le taux de prime d'assurance atteint 3% à 6%. Le rendement net après assurance se situe donc entre -1,1% et 1,9%. Le staking sur Ethena offre un rendement de 3,6% à 4%, avec une prime également de 3% à 6%, soit un rendement net de -2,4% à 1%. Sur ces deux types de plateformes, acheter une assurance peut même, dans des cas extrêmes, entraîner une perte en capital pour l'investisseur.
Seul l'ancien MakerDAO (Sky) se démarque. Son produit d'épargne offre 3,6% par an, avec un taux de prime minimum de seulement 0,11%. Le marché le considère généralement comme l'actif le moins risqué du DeFi. Après assurance, le rendement net reste entre 2,8% et 3,5%, préservant ainsi l'essentiel du gain.
La tarification des primes reflète strictement le niveau de risque, mais pour les nouvelles plateformes, les primes sont si élevées qu'elles annulent le rendement attractif recherché par les utilisateurs.
Les investisseurs crypto choisissent de ne pas s'assurer, non par paresse ou témérité, mais parce qu'ils savent que dans la plupart des cas, acheter une assurance équivaut à réduire leurs gains à zéro. Même si tous les épargnants DeFi décidaient demain de s'assurer pleinement, le secteur serait incapable de répondre à la demande : le pool total de Nexus Mutual est d'environ 81,56 millions de dollars. La capacité d'assurance effective de toute l'industrie se compte au mieux en centaines de millions, alors que les actifs bloqués (TVL) dans les grands protocoles se chiffrent en centaines de milliards. L'écart entre l'offre et la demande est abyssal.
Un seul incident majeur de l'ampleur de Kelp DAO viderait la quasi-totalité des réserves d'assurance du secteur.
Le faible total historique d'indemnisations (18 millions de dollars) révèle en fait la fragilité des pools de fonds du secteur : le marché n'a jamais été confronté à un événement de risque majeur capable d'épuiser ses réserves.
Lorsqu'un utilisateur dépose une demande d'indemnisation auprès de Nexus Mutual, c'est l'ensemble des membres détenteurs de jetons de la plateforme qui votent pour décider du paiement ou non. Les membres qui votent en faveur du paiement voient leurs propres actifs directement impactés si l'indemnisation échoue finalement. Ce mécanisme favorise naturellement une tendance au refus. L'assurance traditionnelle emploie des experts en souscription et en sinistres pour équilibrer les contradictions, tandis que la conception de l'assurance DeFi fusionne toutes les responsabilités au sein d'un même groupe.
Avant la crise financière de 2008, les agences d'évaluation des risques financiers jugeaient impossible un effondrement des prix de l'immobilier à l'échelle nationale, car elles n'en avaient jamais fait l'expérience. Le géant de l'assurance AIG a massivement vendu des contrats de garantie de risque, mais s'est trouvé totalement incapable de les honorer lorsque la crise a éclaté.
Avant que le gouvernement américain ne crée la FDIC, les épargnants ordinaires n'avaient aucune garantie pour leurs actifs. La Grande Dépression a obligé le gouvernement à imposer une assurance des dépôts bancaires, en faisant un coût obligatoire de l'activité bancaire.
Dans le domaine DeFi, personne ne peut forcer des protocoles comme Aave ou Morpho à souscrire une assurance. Le déploiement de smart contracts est entièrement sans permission, et aucune entité ne peut exiger que les projets configurent une couverture de risque. Il manque donc à l'industrie un mécanisme de filet de sécurité pour résister aux scénarios extrêmes.
Les trois plus grosses indemnisations de l'histoire de Nexus Mutual sont : l'effondrement de FTX (environ 7,3 millions de dollars payés en deux fois), le piratage de TribeDAO (5 millions de dollars), et l'attaque d'Euler Finance (3,4 millions de dollars). À elles trois, elles représentent presque l'intégralité du total de 18,6 millions de dollars payés sur sept ans par la plateforme.
Aujourd'hui, cette plateforme d'assurance mutuelle se tourne vers la prévention des risques en amont. En partenariat avec des organismes d'audit de sécurité comme Immunefi, Cantina et Sherlock, elle propose un produit de garantie de primes de bug bounty. Le protocole ne supporte que 20% de la prime pour les vulnérabilités critiques, le reste étant couvert par Nexus Mutual. L'idée est d'inciter financièrement les hackers éthiques à rechercher les failles en amont, évitant ainsi les piratages à la source. Parallèlement, Nexus Mutual développe des compartiments d'assurance conformes à la réglementation, tentant de connecter les risques crypto à des pools de réassurance pour attirer des capitaux externes plus importants et renforcer sa capacité de couverture.
Cantina est allé plus loin en mars 2025, en lançant un produit de garantie natif indépendant pour les protocoles. Même si une faille n'est pas découverte par un chasseur de prime, les utilisateurs peuvent toujours être indemnisés après une attaque.
Ces deux évolutions reconnaissent une réalité fondamentale : les fonds disponibles on-chain sont insuffisants pour couvrir les risques on-chain. La petite taille des pools d'assurance, la forte corrélation des risques, et le fait que les décideurs des indemnisations et les fournisseurs de fonds soient les mêmes, sont trois défauts majeurs et incurables.
Les fonds bloqués (TVL) de Nexus Mutual, selon DeFiLlama, s'élèvent à 81,56 millions de dollars, représentant 85% du marché total de l'assurance DeFi. Les autres acteurs voient leur taille se réduire continuellement : InsurAce a atteint un pic de 150 millions de dollars, mais n'en compte plus que 132 000 aujourd'hui. Après le décrochage de l'UST en 2022, elle n'a effectué qu'une seule indemnisation majeure. Le pool de Sherlock est passé de 60 millions de dollars à 505 000 en un an. Des millions de dollars d'Unslashed Finance sont bloqués dans du code obsolète dont la mise à jour s'est arrêtée fin 2024. Les autres projets d'assurance ont soit fermé, soit changé de secteur d'activité.
Un phare alerte tous les navires des récifs, mais ne peut facturer son usage aux bateaux qui passent. Il est donc difficile de trouver des volontaires pour le construire. Les bénéfices sont partagés par tous, mais le coût est supporté par le constructeur seul.
La valeur de l'assurance DeFi est précisément d'empêcher la propagation de crises en chaîne et de liquidations en cascade. Les actifs du marché crypto étant hautement interconnectés, la stabilité du marché global ne peut être maintenue que si tout le monde s'assure simultanément. Mais si chacun compte sur les autres pour fournir la couverture sans vouloir en supporter le coût, personne ne finira par souscrire d'assurance, et le système de protection deviendra inopérant. Une garantie que personne ne soutient activement ne peut finalement protéger aucun actif.
