Hyperliquid est-il sûr ? Une évaluation honnête des risques

Hyperliquid est non-custodial, il a géré des volumes considérables sans faille de contrat, et vos fonds sont contrôlés par votre portefeuille plutôt que par une entreprise. Aux standards de la crypto, c'est une position de départ solide. Mais « sûr » est le mauvais mot pour tout venue on-chain à effet de levier, et une réponse honnête nomme les risques plutôt que de les balayer.

Les vrais risques, classés approximativement par ordre d'importance :

• Le bridge Arbitrum : le contrat qui détient l'USDC déposé est le plus grand pot de miel du système et la cible la plus attrayante.
• La concentration des validateurs : l'ensemble des validateurs est réduit et a montré qu'il interviendrait sur les marchés, comme l'a prouvé l'épisode JELLY.
• Le risque de structure de marché : les tokens peu liquides peuvent être manipulés pour déverser des pertes sur le vault HLP, ce qui s'est produit à plusieurs reprises.
• Votre propre effet de levier : la façon la plus courante de perdre de l'argent ici, c'est la liquidation, pas une défaillance du protocole.

Aucun de ces points n'est rédhibitoire pris séparément. Ensemble, ils décrivent une plateforme légitime et éprouvée à grande échelle, mais assez jeune pour que vous dimensionniez vos positions et dépôts avec l'hypothèse que quelque chose, un jour, se cassera. La suite développe chacun de ces points.

Le fait de sécurité le plus important sur Hyperliquid est que vous gardez votre propre argent. Il n'y a pas de compte Hyperliquid au sens bancaire. Votre marge est de l'USDC dans une position que votre portefeuille contrôle, et l'exchange ne peut pas la déplacer sans votre accord. C'est la différence structurelle qui rend impossible le mode de défaillance FTX : aucun opérateur ne détient les dépôts clients pour les prêter, les jouer ou les perdre.

Trader sur un carnet d'ordres toutes les quelques secondes tout en signant chaque action avec un hardware wallet serait impraticable. Hyperliquid utilise donc un modèle de portefeuille agent, parfois appelé wallet API. Vous autorisez une clé séparée habilitée à passer et annuler des ordres en votre nom. La limite critique : un wallet agent peut trader, mais il ne peut pas retirer. Même si une clé agent était compromise, un attaquant pourrait mal gérer vos positions, mais ne pourrait pas retirer vos fonds de la plateforme. Les retraits requièrent votre portefeuille principal.

Le collatéral est de l'USDC, point final. Cela simplifie la comptabilité et évite le risque de collatéral en cascade que l'on retrouve sur les plateformes autorisant le margin avec des actifs volatils ou illiquides. Le bémol est que votre USDC doit d'abord arriver sur le L1 Hyperliquid, et il le fait via un bridge — c'est là que réside le risque le plus intéressant.

Hyperliquid fait tourner son propre L1, mais l'USDC que vous déposez transite par un contrat de bridge sur Arbitrum. Ce contrat détient le collatéral collectif qui sous-tend l'ensemble du système, ce qui en fait la cible évidente. Les bridges ont constitué la pire catégorie de l'histoire de la sécurité crypto, responsables de certains des plus grands vols jamais commis, parce qu'ils concentrent une valeur énorme derrière un code qui doit être parfait. Le bridge d'Hyperliquid n'a pas été exploité. C'est aussi l'endroit où, si quelque chose tourne catastrophiquement mal, tout s'effondre d'un coup.

La sécurité de ce bridge repose sur les validateurs — c'est là que se situe le vrai compromis. Les retraits via le bridge sont conditionnés par les signatures des validateurs, donc la sécurité des fonds n'est aussi bonne que l'intégrité de l'ensemble des validateurs. Hyperliquid a lancé avec seulement quatre validateurs, une centralisation alarmante pour quelque chose qui garde autant d'argent : en colludant ou en compromettant une poignée de clés, on pourrait en principe vider le bridge. L'ensemble s'est depuis élargi à environ une vingtaine de validateurs, une amélioration réelle et significative.

Il y a une deuxième dimension, plus subtile, à un petit ensemble de validateurs : il peut agir. Une poignée de validateurs peut se coordonner assez rapidement pour intervenir sur un marché en situation de stress. Cela ressemble à une fonctionnalité quand ça empêche un vault d'exploser — c'est exactement ce qui s'est passé avec JELLY. C'est aussi un risque de centralisation déguisé en gilet de sauvetage, car la même capacité qui sauve le vault est celle qui peut annuler un résultat de marché par vote. Gardez ces deux idées en tête simultanément.

Une évaluation de sécurité qui passe les incidents sous silence, c'est du marketing. Voici ce qui s'est réellement passé, quelle a été la réponse, et ce qui a changé ensuite. À noter : aucun de ces événements n'était une faille de contrat. C'étaient des attaques de structure de marché et des tests.

Le squeeze JELLY (mars 2025)

Un trader a ouvert une très large position short sur JELLY, un token peu liquide, puis a acheté le sous-jacent au comptant pour faire monter le prix en flèche et plonger le short dans le rouge. Parce que la position était disproportionnée par rapport à la liquidité du token, la perte menaçait de retomber sur le vault HLP, qui se retrouve de l'autre côté des liquidations. Les validateurs ont voté pour délister JELLY et régler les positions ouvertes à un prix choisi, limitant la perte du protocole à environ 4 millions de dollars. L'intervention a fonctionné au sens étroit : le HLP a évité un coup bien plus sévère. Elle a aussi suscité des critiques tranchantes et légitimes, car un vote de validateurs réécrivant un résultat de marché est exactement le type de pouvoir discrétionnaire que la décentralisation est censée supprimer. Par la suite, Hyperliquid a resserré les limites de positions et les paramètres de risque sur les marchés plus petits pour rendre ce type de squeeze plus difficile.

L'événement de liquidation POPCAT (novembre 2025)

Plus tard en 2025, une cascade de liquidations sur POPCAT a de nouveau mis sous pression le vault HLP via un marché mince et volatile. La mécanique rappelait JELLY : un risque concentré sur un token dont le carnet d'ordres était trop peu profond pour l'absorber. L'épisode a renforcé la leçon que le ventre mou de la plateforme n'est pas les contrats intelligents mais le long tail des listings peu liquides, et a attiré davantage d'attention sur les contrôles de risque par marché et sur le niveau d'exposition que le vault devrait avoir sur de tels marchés.

Le sondage Lazarus (décembre 2024)

En décembre 2024, des chercheurs en sécurité ont signalé une activité on-chain compatible avec le groupe nord-coréen Lazarus testant Hyperliquid : des transactions depuis des adresses liées à des vols commandités par des États, largement interprétées comme de la reconnaissance plutôt qu'une attaque en direct. Aucun fonds n'a été perdu. C'est un rappel qu'un protocole détenant autant de valeur est en permanence dans le viseur des adversaires les plus capables de la planète, et que le bridge est ce qu'ils seraient en train d'évaluer.

Le HLP, le vault Hyperliquid Liquidity Provider, est souvent présenté comme un produit de rendement. Ce n'en est pas un. Le HLP est une stratégie de market-making et de liquidation financée par la communauté. Quand vous déposez, votre USDC est mis au travail pour prendre l'autre côté des trades et absorber les liquidations, et vous participez à ce que cette stratégie gagne ou perd. Le mot qui compte, c'est « perd ».

Le HLP a été rentable sur la majeure partie de son histoire, ce qui explique précisément qu'il soit facile de le prendre pour un compte d'épargne. Résistez à cette tentation. Deux points pratiques : les dépôts sont soumis à un blocage, vous ne pouvez donc pas forcément sortir à la première nervosité, et les rendements dépendent des conditions de trading, pas d'un taux fixe que quelqu'un vous aurait promis. Si vous allouez au HLP, dimensionnez-le comme du capital à risque que vous pourriez voir chuter, pas comme le coin sûr de votre portefeuille.

La plupart des gens qui perdent de l'argent sur Hyperliquid ne sont pas victimes d'un hack. Ils sont liquidés, ou ils ont déposé dans quelque chose qu'ils ne comprenaient pas. Les risques contrôlables sont ceux qui valent la peine d'être obsessionnels, car ce sont eux qui vident réellement les comptes.

• Misez sur le modèle de wallet agent : gardez la clé qui peut retirer en cold storage et tradez via un wallet agent autorisé. La clé de trading ne doit jamais être celle qui peut déplacer vos fonds hors de la plateforme.
• Dimensionnez vos positions pour survivre à l'erreur : décidez combien vous pouvez perdre sur un trade avant de l'ouvrir, et laissez ce montant définir votre taille. Les mathématiques de l'effet de levier sont impitoyables, et une position que vous ne supportez pas de regarder est une position trop grande.
• N'utilisez pas l'effet de levier maximum : un levier élevé réduit le mouvement de prix nécessaire pour vous liquider à presque rien. Une simple bougie normale sur un token volatil peut anéantir une position trop serrée. Un levier plus faible n'est pas de la timidité — c'est ce qui vous permet de rester dans le jeu.
• Soyez prudent sur les marchés peu liquides : les listings à faible capitalisation et faible liquidité sont à l'origine de chaque événement de stress. Les spreads plus larges et les carnets peu profonds signifient que votre liquidation peut se remplir à un prix défavorable. Tradez les marchés profonds sauf si vous savez précisément ce que vous faites dans le long tail.
• Traitez les dépôts dans les vaults comme du capital à risque : si vous mettez des fonds dans le HLP ou un vault, comprenez d'abord le blocage et le modèle de perte mutualisée, et n'engagez que de l'argent que vous pouvez vous permettre de voir chuter.
• Vérifiez le frontend que vous utilisez : le protocole peut être non-custodial et l'interface peut quand même être un clone de phishing. Confirmez l'URL, mettez-la en favori, et méfiez-vous de tout site ou message vous demandant d'approuver une signature inhabituelle.

Hyperliquid est l'une des choses les plus crédibles dans la DeFi. Le modèle de garde est genuinement solide, les contrats ont tenu sous un volume réel et une reconnaissance du groupe le plus dangereux de l'espace, et l'équipe a répondu aux incidents en renforçant le système plutôt qu'en les minimisant. Si votre critère de « sûr » est « non-custodial et pas une arnaque », il le satisfait facilement.

Si votre critère est « rien ne peut mal tourner », rien ne le satisfait, et Hyperliquid le premier ne prétend pas le faire. Le bridge est une cible permanente, l'ensemble des validateurs s'améliore mais reste concentré, le vault peut perdre de l'argent et vous en répercuter la perte, et un jeune protocole gérant des milliards continuera d'être testé. JELLY a montré à la fois la force et le malaise du modèle dans un seul événement : un vault a été sauvé, et il a fallu un vote de validateurs pour y parvenir.

La conclusion adulte n'est ni un oui ni un non. C'est : légitime, bien construit et valant la peine d'être utilisé, à condition que vous tradiez en gardant vos propres clés en tête, que vous mainteniez un effet de levier raisonnable, que vous restiez en dehors des marchés peu liquides que vous ne comprenez pas, et que vous ne déposiez jamais dans un vault plus que vous ne pouvez vous permettre de voir chuter. Faites ça, et vous êtes exposé au risque protocolaire résiduel inhérent à tout système de frontière — ce qui est un échange équitable contre le fait de ne pas avoir à faire confiance à un exchange avec votre argent. Ignorez les risques, et Hyperliquid vous les enseignera tôt ou tard de la manière la plus coûteuse.