L'hiver des cryptomonnaies nous enseigne des leçons sévères sur la conservation et la gestion des actifs numériques

L'hiver des cryptomonnaies a redonné vie à l'adage « sans tes clés, pas de coins », tout particulièrement après la faillite de certaines entreprises de renom telles que Celsius Network, dont les fonds ont été gelés en juin. Pas plus tard que la semaine dernière, le PDG de Ledger, Pascal Gauthier, a encore insisté sur ce point en lançant un avertissement : « Ne confiez pas vos coins et vos clés privées à n'importe qui, parce que vous ne savez pas ce qu'ils vont en faire ».

L'idée fondamentale qui sous-tend cet adage, que beaucoup d'anciens utilisateurs de cryptomonnaies connaissent très bien, est que quand on ne détient pas personnellement ses clés privées (c'est-à-dire vos mots de passe) dans un « portefeuille froid » hors ligne, alors on n'a pas vraiment le contrôle de ses actifs numériques. Gauthier a également replacé la question dans un contexte plus général, celui où le monde est en train de basculer du Web2 au Web3 :

« Beaucoup de personnes sont encore dans le Web2 [...] parce qu'elles veulent continuer à rester dans le système où on les contrôle, parce que c'est beaucoup plus simple, il suffit de cliquer sur oui oui oui et quelqu'un d'autre se charge de vos problèmes. »

Pourtant renoncer au contrôle ne vous rendra pas libre. « C'est en prenant des responsabilités que l'on devient libre ».

Il faut admettre que Gauthier a un intérêt personnel dans cette affaire puisque Ledger est l'un des plus gros fournisseurs de portefeuille froid au monde. Il se peut toutefois qu'il se soit rendu à l'évidence. En mai, Coinbase a reconnu dans une déclaration 10-Q à la SEC que si elle faisait faillite, les clients qui ont confié leurs actifs numériques à l'exchange « pourraient être traités comme nos créanciers généraux non garantis », c'est-à-dire qu'ils pourraient se retrouver à la fin de la liste des créanciers dans les procédures de faillite.

Le fait que le contrat de l'exchange stipule que vous êtes « propriétaire » de la monnaie est sans importance », avait alors déclaré Adam Levitin, professeur de droit à l'université de Georgetown, à Barron's. « Cela ne change rien à ce qui se passera en cas de faillite ». 

La déclaration de M. Gauthier soulève néanmoins un certain nombre de questions. Cette notion de prise de « contrôle » de ses clés et de ses coins pourrait devenir plus compliquée avec les récentes propositions de réglementation formulées en Europe, et avec les commentaires d'une importante agence gouvernementale aux États-Unis. De plus, dans le contexte de la transition du Web2 au Web3, peut-on vraiment être certain que des solutions centralisées comme Coinbase et autres n'ont pas encore un rôle important à jouer en ce qui concerne la garde et, pourquoi pas, le respect de la vie privée ?

L'apprentissage à la dure

Il semble que, d'une manière générale, les utilisateurs ne comprennent toujours pas les risques potentiels qu'ils prennent lorsqu'ils confient les clés privées de leurs cryptomonnaies à des plateformes et à des exchanges centralisés.

« On a clairement vu que même les dépositaires qui semblent les plus dignes de confiance sont parfois susceptibles de commettre de graves erreurs avec les fonds des utilisateurs », a déclaré à Cointelegraph, Nick Saponaro, PDG du projet Divi. « Un utilisateur qui remet ses clés privées à un tiers, quelle que soit l'intention réelle de ce tiers, annule immédiatement la promesse de propriété auto-souveraine de son argent ».

« Tous les utilisateurs de cryptomonnaie devraient se former et assumer eux-mêmes la responsabilité de la sécurité de leurs crypto-actifs en les conservant en toute sécurité dans des portefeuilles matériels », a déclaré à Cointelegraph Bobby Ong, cofondateur et directeur de l'exploitation chez CoinGecko. « Ce n'est toutefois pas une approche populaire, car la plupart des utilisateurs de cryptomonnaie préfèrent sans doute stocker leurs cryptomonnaies sur des exchange crypto centralisés ».

À lire également : Les entreprises de la blockchain financent des centres de recherche universitaires

Il n'en reste pas moins qu'un exchange centralisé (CEX) peut parfois être utile et qu'il faut peut-être s'attendre à vivre dans un cryptoverse hybride pendant un certain temps, avec des cold wallets et des hot wallets, des exchanges décentralisés et centralisés (DEX).

« Il y a un intérêt à avoir recours à des exchanges centralisés pour envoyer des fonds à d'autres personnes et ainsi ne pas doxxer vos adresses crypto », a déclaré Ong. « En effet, lorsque vous envoyez une transaction à un autre utilisateur, ce dernier a connaissance de votre adresse et peut connaître votre solde, vos transactions historiques et toutes les transactions à venir ».

Ong a d'ailleurs tweeté il n'y a pas longtemps que : « Le conseil principal aujourd'hui est de détenir plusieurs portefeuilles pour des usages différents et de les approvisionner au moyen d'exchange centralisés. Cette méthode est efficace, mais pas assez. Si vous passez par FTX ou Binance, l'Oncle Sam et Changpeng Zao auront accès à tous vos portefeuilles et pourront vous profiler ».

Toujours selon Ong, " Pour bénéficier d'une confidentialité totale sur votre nouveau portefeuille, il faut opter pour un service comme Tornado Cash. Certes, ce sera sans doute plus cher, plus lent et plus fastidieux ». Cependant, cette option permettrait de garantir une confidentialité totale et fera en sorte que les cryptomonnaies se comportent davantage comme des espèces, a-t-il ajouté.

De son côté, Justin d'Anethan, directeur des ventes institutionnelles chez Amber Group, reconnaît que des compromis subsistent. « Il est impossible d'effectuer un nombre élevé de trades sophistiqués à partir d'un portefeuille privé comme sur une plateforme centralisée, ou du moins pas aussi aisément et aussi efficacement », a-t-il déclaré à Cointelegraph. Les grands traders sophistiqués auront toujours besoin de détenir une partie de leurs avoirs sur les exchanges afin de maximiser les rendements. Pour sa part, il affirme :

« Je garde une grande partie de mes principaux avoirs dans des portefeuilles privés, mais je garde forcément un peu d'actifs sur des plateformes centralisées afin de générer un rendement et bénéficier d'un certain rééquilibrage, etc. ». 

Il est possible que les sociétés, de façon particulière, ne veuillent pas s'occuper de l'aspect opérationnel des transactions, à savoir l'investissement et la garde des titres, et qu'elles préfèrent faire avec des entités centralisées, reconnues, établies et qui sont à même de procéder à des vérifications préalables. D'autre part, les sociétés ont peut-être besoin de faire avec des entités facilement identifiables, disposant de liquidités suffisantes et qu'elles pourront poursuivre « en cas d'erreur », ajoute M. d'Anethan.

En ce qui concerne les particuliers, la configuration des portefeuilles privés est parfois fastidieuse, ce qui peut justifier pourquoi tant de personnes confient leurs clés privées à des CEX et autres, même si ce n'est pas toujours la meilleure solution. Comme l'a dit d'Anethan à Cointelegraph :

« Vous ne savez peut-être pas comment - ou n'avez pas la motivation - acheter un portefeuille privé, le configurer et y conserver votre clé privée et prendre le risque de la perdre. C'est donc le chemin de moindre résistance qui l'emporte. »

Les régulateurs n'ont-ils toujours pas « compris »?

Ailleurs, les fournisseurs de portefeuilles auto-hébergés pourraient bientôt être confrontés à des réglementations strictes en Europe si et lorsque la proposition de règlementation sur les transferts de fonds de l'UE se concrétisera. Cette réglémentation pourrait bouleverser toute la notion de prise de contrôle des clés privées et des coins.

« En effet, cela reviendrait à interdire de facto les portefeuilles auto-hébergés en exigeant l'association des identités individuelles aux portefeuilles auto-hébergés », ont écrit Philipp Sandner et Agata Ferreira.

Mikolaj Barczentewicz, professeur associé à l'Université de Surrey au Royaume-Uni, a déclaré à Cointelegraph :

« La proposition de réglémentation relative aux transferts de fonds n'interdit pas les portefeuilles auto-hébergés. Elle incite plutôt les fournisseurs de services à les traiter comme des éléments à haut risque pour le blanchiment d'argent [...] Dans la pratique, il pourrait devenir très difficile d'effectuer des transactions en utilisant des portefeuilles auto-hébergés. »

Les défenseurs de la réglémentation relative aux transferts de fonds pourraient répondre que ce n'est pas la faute des régulateurs si les entreprises ne sont pas plus efficaces dans l'analyse des risques et dans le discernement des situations de risque particulièrement élevé de criminalité. Cependant, « je ne pense pas que cette réponse soit raisonnable », poursuit Barczentewicz. « Elle est symptomatique d'un manque de compréhension - ou de considération - du fait que les réglementations doivent être conçues pour être applicables dans le monde réel ». Ce que l'UE dit en fait aux entreprises, c'est quelque chose du genre : « Débrouillez-vous ».

Cela dit, selon M. Barczentewicz, la plus grande menace pour les portefeuilles autogérés « ressemble au scénario que nous avons observé en réaction à la sanction de Tornado Cash par les États-Unis : Les entreprises ont peur et s'engagent dans une conformité excessive, en faisant plus que ce que la loi demande ».

Comme précisé, le 8 août dernier, le Bureau du contrôle des actifs étrangers (OFAC) du Département du Trésor des États-Unis a émis des sanctions légales contre le mixeur de cryptomonnaies Tornado Cash pour le rôle qu'il a joué dans le blanchiment d'une somme de plus de 455 millions de dollars de cryptomonnaies volées par l'organisation pirate Lazarus Group liée à la Corée du Nord.

Selon la société d'analyse de données Chainalysis, les obligations des fournisseurs de portefeuilles crypto sans service de garde ne sont désormais plus claires quand on s'en tient à la récente explication de l'OFAC : « Si on en fait une interprétation extrême, cela pourrait signifier que les fournisseurs de portefeuilles sans service de garde pourraient également avoir à bloquer les transferts vers les adresses placées sous sanction, bien que cela ne se soit jamais produit par le passé ».

Au minimum, des actions gouvernementales comme celles-ci laissent croire que les solutions de cold-wallet destinées à aider les utilisateurs de cryptomonnaie à avoir le contrôle de leurs clés privées pourraient poser plus de problèmes que prévues - au lieu que ce soit le contraire - sinon, tout au moins dans un futur très proche.

La formation, devient-elle un impératif ?

Dans l'ensemble, le secteur des cryptomonnaies est-il confronté à un besoin de formation en ce moment ? En d'autres termes, faudra-t-il expliquer à la fois aux particuliers et aux décideurs, l'importance du stockage à froid et de la « responsabilité » individuelle ?

« Je pense que nous devons être honnêtes avec nous-mêmes », répond Saponaro. « Oui, la formation peut aider certains individus à esquiver les pièges dont nous avons été témoins ces derniers mois, même si malheureusement, la plupart des gens ne vont pas lire tous les articles, regarder toutes les vidéos ou prendre le temps de se former ». Les développeurs ont la responsabilité de développer des produits qui guident les utilisateurs « dans l'apprentissage par la pratique ».

« La communauté crypto, y compris celle de l'UE, peut encore faire beaucoup plus pour former les décideurs politiques », a ajouté Barczentewicz. « Mais cette formation ne peut pas se limiter à expliquer le fonctionnement des cryptomonnaies. C'est une erreur de penser que les décideurs politiques proposeront d'eux-mêmes une règlementation raisonnable une fois qu'ils auront compris ».

La communauté crypto doit être proactive en proposant des notions techniques et réglementaires détaillées sur la façon de lutter contre la criminalité et les malversations sans renoncer aux avantages clés qu'offre les cryptomonnaies, en l'occurence l'auto-défense, a-t-il déclaré. « Il ne suffit pas de mentionner des mots en vogue comme « preuves de connaissance zéro » et d'attendre des décideurs politiques qu'ils fassent la partie difficile du travail.

La prise de « contrôle » est-elle vraiment importante ?

Qu'en est-il de l'argument plus généralisé de Gauthier selon lequel les gens doivent simplement apprendre à prendre à assumer « responsabilité » de leurs actifs - numériques et autres - parce que « c'est en prenant des responsabilités que l'on devient libre ».

« Les cryptomonnaies représentent une révolution parce qu'elles nous donnent désormais le plein contrôle de notre argent sans que nous soyons tenus de faire confiance à une tierce partie », a déclaré Ong. Cela dit, certaines personnes « peuvent choisir de renoncer à la responsabilité et de faire confiance à un dépositaire tiers qui est peut-être mieux équipé pour stocker leurs pièces en toute sécurité - et ça aussi, c'est acceptable », a-t-il déclaré à Cointelegraph.

À lire également : La volatilité des cryptomonnaies pourrait bientôt s'estomper malgré la forte corrélation avec le TradFi

« Dans l'espace crypto, on a généralement des opinions très binaires sur la façon dont les choses peuvent se développer à partir du présent. Je pense que la vérité se situe quelque peu au milieu », a déclaré d'Anethan, ajoutant :

« C'est une illusion que de penser que tous les particuliers et toutes les entreprises vont devenir des DeFi à part entière demain. Mais ce serait aussi une illusion que de penser que le monde numérique en pleine croissance restera éternellement dans l'infrastructure Web2. »

La meilleure solution serait d'avoir à la fois des plateformes centralisées et décentralisées, « afin que la base d'utilisateurs puisse progressivement se déplacer là où elle voit le plus de valeur - quel que soit le temps que cela prendra », a-t-il ajouté.