Les exchanges ne tombent pas d'une seule manière. Elles tombent de sept. La plupart des utilisateurs ne découvrent le prochain mode de défaillance que lorsqu'il les frappe — le client de FTX qui pouvait retirer le lundi mais plus le mercredi, le créancier de Mt. Gox qui attend toujours onze ans plus tard, l'utilisateur dans un pays sanctionné qui s'est connecté et a trouvé son solde bloqué.
C'est le troisième article de la série Self-Custody Fundamentals. Le premier, not your keys, not your coins, a posé l'argument. Le second, custodial vs. non-custodial wallets, a tracé la frontière. Celui-ci inventorie les modes de défaillance réels — à quoi chacun ressemble, quand il s'est produit, et ce que vous pouvez faire avant qu'il ne vous arrive.
TL;DR
- Une exchange est un custodian. Un custodian peut tomber d'au moins sept manières distinctes, et les défaillances se cumulent généralement.
- Les sept modes : insolvabilité, piratages, gel réglementaire, exit scams, sanctions, blocage KYC/compte et suspension de retraits.
- Chaque mode a un précédent historique — Mt. Gox, FTX, Celsius, Bitfinex, QuadrigaCX, Bitzlato, BitMart et bien d'autres.
- Assurance, régulation et "audits" ne suppriment aucun de ces modes. Ils changent qui décide de l'ordre dans la faillite, pas si la faillite a lieu.
- La parade pour chaque mode est la même — détenez les clés vous-même, sur des appareils qui ne dépendent pas qu'un seul venue reste solvable, en ligne et en règle légalement.
Mode 1 — Insolvabilité
L'exchange n'a plus l'argent qu'elle doit aux clients. C'est la défaillance canonique, et celle que les utilisateurs retail sous-estiment le plus, car l'UI continue d'afficher les bons soldes jusqu'au moment où les retraits s'arrêtent.
L'insolvabilité arrive pour les raisons ennuyeuses qui font tomber les banques (mauvais prêts, mismatch de duration entre hot/cold wallet) et pour les raisons spécifiques au crypto (un bras de venture qui faisait aussi market maker, une trésorerie de tokens utilisée comme collatéral, un solde interne de "liquidité" en token maison). La cascade de 2022 — Celsius, Voyager, BlockFi, FTX — a été une cascade d'insolvabilités.
Le signal que vous recevez : les retraits sont suspendus "pour gérer les sorties", un dirigeant tweete que les fonds sont en sécurité, puis dépôt de Chapter 11 deux à sept jours plus tard. Les fonds n'étaient pas en sécurité. Ils avaient été prêtés, hypothéqués, ou n'avaient jamais existé comme soldes individuels identifiables on-chain.
Ce qu'il vous reste : une créance, libellée dans ce que le tribunal choisit (souvent en USD à la date de pétition, pas la valeur actuelle de l'actif). Les créanciers Mt. Gox ont reçu des distributions à partir de 2024 — onze ans après la faillite. Les clients FTX ont eu de meilleurs résultats plus vite, mais toujours liquidés en USD à la date de pétition, en ratant le marché haussier qui a suivi.
Mode 2 — Piratages
Les hot wallets (ou parfois cold wallets) de l'exchange sont vidées par un attaquant. Différent de l'insolvabilité parce que l'activité sous-jacente était solvable le matin du piratage ; différent d'un exit scam parce que l'opérateur est la victime, pas l'attaquant.
Exemples historiques : Mt. Gox (2014, ~850k BTC), Bitfinex (2016, ~120k BTC, partiellement récupérés en 2022), Coincheck (2018, $530M en NEM), KuCoin (2020, $280M), Bitmart (2021, $200M), Ronin Bridge (2022, $625M), DMM Bitcoin (2024, $305M), WazirX (2024, $230M).
Ce qui se passe ensuite dépend de qui porte la perte. Certaines exchanges (Binance via SAFU, Bitfinex via tokens post-hack) ont socialisé la perte et indemnisé les clients dans le temps. D'autres (Mt. Gox) n'ont pas pu. Le schéma : si l'exchange survit, vous récupérez quelque chose, potentiellement à moins de 100%. Si elle ne survit pas, voir Mode 1.
Surfaces d'attaque courantes : compromission de la clé de hot wallet (le plus fréquent), ingénierie sociale sur un admin interne, attaque supply-chain sur l'infrastructure de trading ou de signature, bug de smart contract sur un bridge connecté. Le ratio cold/hot que l'exchange publie (quand elle le fait) est un indicateur partiel, pas une garantie — voir le cas WazirX 2024 où la cible était l'infrastructure de signature multisig, pas la frontière du wallet.
Mode 3 — Gel réglementaire
Un tribunal, un régulateur ou une agence gouvernementale ordonne à l'exchange de suspendre les retraits ou de geler certains comptes. L'exchange fonctionne normalement — solvable, non piratée — mais ne peut légalement pas restituer les fonds tant que l'ordre n'est pas résolu.
Cela apparaît en deux saveurs. Ciblé : un compte spécifique est gelé suite à une décision judiciaire, une alerte AML ou une enquête (fréquent, généralement résolu en semaines à mois). Étendu : toute l'exchange ou les comptes d'un pays sont gelés en attente d'une action réglementaire.
Exemples de la saveur étendue : BitMEX (2020, action CFTC restreignant les utilisateurs US), Bittrex (2023, enforcement SEC, les utilisateurs US avaient une deadline de retrait), Binance.US (2023-2024, pression réglementaire restreignant fonctionnalités et retraits), divers gels de comptes russes sur des exchanges européens après les sanctions de 2022. La saveur ciblée est un bruit de fond constant ; les utilisateurs s'en rendent compte en tentant un retrait et en déclenchant une re-vérification KYC inattendue.
Ce que vous pouvez faire pendant un gel : généralement attendre. Parfois on peut transférer vers une autre plateforme, parfois non. Le gel n'annule pas votre créance, mais signifie que l'actif est illiquide pour une durée indéfinie — assez longue pour que le prix éventuel soit méconnaissable.
Mode 4 — Exit scams
L'opérateur prend la fuite. Distinct d'un piratage en ce que l'exchange elle-même est l'attaquant ; distinct de l'insolvabilité en ce que les fonds existaient mais ont été intentionnellement détournés, pas perdus dans de mauvais paris.
Deux schémas historiques. Le rug direct : une exchange petite ou moyenne disparaît du jour au lendemain avec les fonds clients — exemples : WEX (Russie, 2018, ~$450M après le relancement de BTC-e), Africrypt (Afrique du Sud, 2021, ~$3.6B revendiqués), et une longue traîne de venues plus petites. La sortie lente : l'opérateur meurt, disparaît ou devient injoignable alors qu'il détient le seul jeu de clés cold wallet — le cas QuadrigaCX (Canada, 2019, ~$190M CAD bloqués à la mort du CEO Gerald Cotten détenant seul les clés) est l'archétype, et l'enquête a conclu que la "mort" était secondaire ; l'opération était une fraude bien avant.
Le signal : propriété opaque, relations bancaires non documentées, pas d'audit, pas de preuve de réserves publiée, limites de retrait inhabituelles pour la taille annoncée. Aucun n'est individuellement disqualifiant, mais la combinaison l'est. Soyez particulièrement prudent avec les exchanges où une seule personne est publiquement toute la société.
Mode 5 — Sanctions
Votre compte va bien. Votre juridiction non. Un régime de sanctions — OFAC aux États-Unis, équivalents en UE, Royaume-Uni, ONU — ajoute votre pays ou une personne liée à vous à une liste désignée. L'exchange est désormais légalement tenue de bloquer votre accès, souvent sans préavis.
Cela s'est répété depuis 2022. Des utilisateurs iraniens, russes, biélorusses et vénézuéliens ont fait face à des blocages soudains sur de grandes exchanges à mesure que de nouveaux paquets de sanctions arrivaient. La saisie de Bitzlato (janvier 2023, désignation FinCEN, comptes gelés, infrastructure saisie en coordination avec les autorités françaises) est un exemple particulièrement net : l'exchange elle-même était l'entité désignée, et chaque compte est devenu instantanément inaccessible.
Les sanctions ne visent pas que les États. Des adresses Tornado Cash ont été désignées par l'OFAC en 2022 ; les exchanges qui ont touché des adresses signalées ont répercuté les conséquences sur leurs utilisateurs. Si vous vivez dans une juridiction sanctionnée, ou si vous transigez avec des adresses sanctionnées (même sans le savoir, en recevant un UTXO contaminé), le custodian porte ce risque et le résoudra en fermant votre accès.
Mode 6 — Blocage KYC / compte
Vous êtes individuellement soumis à une rétention KYC ou AML. Pas de sanction, pas d'exchange gelée, mais une transaction ou un profil de compte a déclenché une revue. Votre compte est bloqué en attente de documents, ce qui prend de 48 heures à jamais.
Déclencheurs courants : un dépôt depuis une adresse "à haut risque" (une exchange que l'équipe compliance n'aime pas, un mixer, une privacy pool), un schéma de retraits qui matche une template de structuring, un changement de pays sur votre IP, une connexion depuis un nouvel appareil, un changement de nom sur votre pièce d'identité. Le vendor compliance vous signale, la file de revue est en retard, et vous attendez.
Le signal : un bandeau dans l'app, parfois un email demandant une nouvelle photo de pièce d'identité et un selfie. La friction, c'est le but — beaucoup d'utilisateurs abandonnent un KYC partiel et perdent l'accès. Pour les comptes à plus forte valeur, la revue peut exiger des documents de provenance des fonds, des relevés bancaires et des explications sur des transactions anciennes.
Le risque, ce n'est pas la gêne temporaire. C'est que le blocage peut être ouvert, et pendant ce temps vos actifs sont illiquides. L'exchange ne fait rien de mal réglementairement — elle fait ce qu'on lui demande. L'asymétrie est que vous en payez le coût.
Mode 7 — Suspension de retraits
L'exchange suspend les retraits "temporairement, pour maintenance". Parfois c'est littéralement vrai — rotation de clé hot wallet, upgrade de chain, mitigation de congestion — et les retraits reprennent en quelques heures. Parfois c'est le premier symptôme visible du Mode 1.
Vous ne savez pas d'avance lequel des deux. Le même bandeau apparaît dans les deux cas. Mt. Gox a suspendu les retraits invoquant des problèmes de "transaction malleability" en février 2014, en faillite trois semaines plus tard. FTX a suspendu les retraits en novembre 2022 en parlant de "volume extrêmement élevé" et a déposé Chapter 11 quelques jours après. Celsius a suspendu les retraits en juin 2022 invoquant des "conditions de marché extrêmes" et a déposé Chapter 11 un mois plus tard.
C'est le mode qui transforme les autres d'un risque de fond en perte immédiate. Vous pouvez avoir une créance contre une exchange insolvable et récupérer partiellement. Vous pouvez perdre l'accès via un blocage sanctions et le récupérer. Mais pendant la suspension — les jours ou semaines avant de savoir dans quel mode vous êtes vraiment — vos actifs sont inaccessibles. Le schéma Mt. Gox/FTX/Celsius montre que le délai entre une suspension de retraits et la compréhension complète peut aller de 12 heures à 11 ans.
Ce que ça veut dire pour vous
Ces sept modes ne sont pas des cas extrêmes. Ce sont les modes de fonctionnement courants du business de l'exchange custodial. Tout utilisateur crypto de longue date a été du mauvais côté d'au moins l'un d'eux ; beaucoup en ont touché plusieurs.
La parade pour les sept est la même : détenez des clés que vous contrôlez, sur des appareils que vous contrôlez, derrière une recovery que vous comprenez. Il n'y a pas d'astuce pour utiliser une exchange en évitant ces modes — ils sont inhérents au modèle. Le bon cadre est opérationnel : utilisez les exchanges pour ce qu'elles font bien (rampes fiat, trading régulé, profondeur), et n'y gardez pas de soldes significatifs plus longtemps que nécessaire.
Le multisig 2-of-2 de SSP adresse les modes de défaillance équivalents côté self-custody — perdre un appareil, compromission de clé, perdre l'accès en voyage — en répartissant l'exigence de signature sur deux appareils plutôt qu'en la concentrant sur un seul. Bonnes pratiques de seed phrase couvre la couche recovery en dessous.
Le prochain article de la série, what self-custody actually requires of you, est la contrepartie honnête de celui-ci : une exchange peut tomber de sept façons, et la self-custody peut tomber de quelques-unes propres. L'idée n'est pas qu'une soit sans risque. C'est que vous choisissez quel ensemble de risques vous portez.
