Cette nuit-là, le marché n'avait pas beaucoup bougé. Je n'avais rien à faire alors j'ai pensé à déposer quelques crypto-monnaies inutilisées dans un protocole de staking pour gagner un peu de rendement. J'ai ouvert l'application, choisi le dépôt, une fenêtre contextuelle de portefeuille est apparue — il n'y avait qu'un seul bouton : Approver.

Mon doigt s'est arrêté là. Approver pour quoi faire ? L'interface semblait correcte, mais ce bouton donnait toujours l'impression de signer un chèque en blanc. Ce léger doute à ce moment-là touchait en réalité à la racine des risques pour la plupart des portefeuilles.

Dans la DeFi, jouer avec le staking, le prêt ou le yield farming suit généralement ce processus : vous souhaitez verrouiller des tokens dans un protocole, mais ce n'est pas une simple transaction directe. Il faut d'abord donner une permission au contrat intelligent — lui permettre de prendre vos tokens dans votre portefeuille lorsque les conditions sont remplies. Dans le secteur, on appelle cela l'Allowance, c'est-à-dire l'autorisation de plafond. Par exemple, pour participer à un projet de staking ou de yield farming, vous devez déposer des actifs en garantie pour générer des stablecoins, puis staker ces stablecoins pour gagner des revenus. Vous devez d'abord donner au contrat du protocole une autorisation pour qu'il puisse manipuler votre collatéral.

Un détail souvent négligé : presque tous les tokens principaux — stablecoins, la majorité des altcoins, les tokens cross-chain — suivent la norme ERC-20, qui nécessite cette étape d'approbation. Seuls les tokens natifs comme l'ETH peuvent généralement s'en passer. Il est donc possible que vous ayez déjà approuvé plusieurs fois sans y faire attention.

Pire encore, de nombreux portefeuilles donnent par défaut une autorisation illimitée — c'est comme confier la clé en permanence. Cela signifie qu'en cas de piratage du contrat ou d'attaque, vos actifs peuvent être dérobés en totalité ou en partie sans restriction.