Du costume-cravate aux smart contracts : Un parcours atypique
Compte-rendu du Builder Talk The Arch avec Damien Dupont, founder de Hasheur et expert en audit de sécurité blockchain
Imaginez : vous avez un CDI chez BNP Paribas, l’une des plus grandes banques européennes. Sécurité de l’emploi, salaire confortable, avantages sociaux. Et un jour, vous décidez de tout plaquer pour auditer des smart contracts et travailler avec Sorare, une licorne française du gaming blockchain.
C’est exactement le pari qu’a fait Damien Dupont. Et spoiler : ça a marché.
Lors de notre dernier Builder Talk, Damien est venu partager les coulisses de cette transition audacieuse, les défis de l’audit de sécurité, et ce qu’il a appris en travaillant avec l’une des success stories françaises du Web3.
🏦 La vie d’avant : BNP Paribas et le confort du CDI
Un parcours classique… jusqu’à un point
Damien a suivi un chemin que beaucoup de développeurs connaissent : école d’ingénieur, premier emploi en SSII, puis entrée chez BNP Paribas comme développeur backend.
“Sur le papier, c’était le rêve”, explique Damien. “Grosse boîte, CDI, projets techniques intéressants dans la fintech traditionnelle. Mais quelque chose manquait.”
Le déclic blockchain
C’est en 2017, pendant le bull run des cryptomonnaies, que Damien découvre Bitcoin et Ethereum. Mais contrairement à beaucoup qui se concentrent sur le trading, lui s’intéresse à la technologie sous-jacente.
“J’ai commencé à coder des smart contracts le soir après le boulot. Au début, c’était juste de la curiosité. Puis c’est devenu une passion.\
Les questions ont commencé à affluer :
- Comment ces contrats sont-ils sécurisés ?
- Quelles sont les vulnérabilités les plus courantes ?
- Comment auditer du code décentralisé ?
C’est là qu’est née l’idée de Hasheur.
🚀 Le grand saut : Créer Hasheur
La préparation minutieuse
“Quitter un CDI, c’est pas quelque chose qu’on fait sur un coup de tête”, prévient Damien. Voici comment il a préparé sa transition :
1. Formation intensive (6 mois)
- Cours en ligne sur Solidity et les smart contracts
- Participation à des bug bounties pour apprendre les vulnérabilités
- Étude des rapports d’audit des grands cabinets (OpenZeppelin, Trail of Bits)
2. Construction d’un portfolio
- Audit de projets open-source
- Publication d’articles techniques sur Medium
- Contributions à des outils de sécurité
3. Validation du marché
- Discussions avec des projets Web3 français
- Estimation des tarifs et de la demande
- Identification des premiers clients potentiels
4. Matelas financier
- “J’ai économisé pour avoir 12 mois de runway. Ça enlève beaucoup de pression au début.”
Le moment décisif
En mars 2022, Damien pose sa démission. “Mon manager chez BNP pensait que j’étais fou. Mes parents aussi d’ailleurs”, sourit-il.
Mais il avait déjà deux contrats signés avant même son dernier jour de travail.
🔍 L’audit de sécurité : Un métier exigeant
Qu’est-ce qu’un auditeur de smart contracts ?
“On est un peu comme des hackers éthiques”, explique Damien. “Notre job est de trouver TOUTES les failles d’un smart contract avant qu’un attaquant malveillant ne les trouve.”
Le processus d’audit type :
-
Review manuelle du code (60% du temps)
- Lecture ligne par ligne du Solidity
- Identification des patterns dangereux
- Vérification de la logique métier
-
Tests automatisés (20% du temps)
- Outils statiques : Slither, Mythril
- Fuzzing avec Echidna
- Simulation d’attaques
-
Documentation (20% du temps)
- Rapport détaillé des vulnérabilités
- Scoring de criticité (Critical, High, Medium, Low)
- Recommandations de fix
Les vulnérabilités les plus courantes
Damien partage son top 3 des erreurs qu’il trouve le plus souvent :
1. Reentrancy attacks “Encore aujourd’hui, des projets à plusieurs millions ne protègent pas leurs fonctions contre les appels récursifs. C’est basique, mais ça reste l’attaque #1.”
2. Integer overflow/underflow “Avant Solidity 0.8, c’était une plaie. Maintenant c’est mieux, mais beaucoup de projets utilisent encore des anciennes versions.”
3. Access control issues
“Des fonctions critiques sans modifier onlyOwner, ou pire : des clés privées hardcodées dans le code.”
🎮 Le cas Sorare : Auditer une licorne
Comment décrocher Sorare comme client
“Sorare, c’était mon client de rêve”, avoue Damien. “Une licorne française, un produit génial, des enjeux de sécurité énormes.”
La stratégie d’approche :
- Étudier en profondeur leurs smart contracts existants
- Identifier des améliorations potentielles
- Rédiger un audit gratuit d’une petite feature
- Envoyer ça directement au CTO via LinkedIn
“Ils ont adoré le travail. Deux semaines après, j’avais un contrat pour auditer leurs nouveaux NFTs.”
Les défis spécifiques du gaming blockchain
Sorare n’est pas un simple projet DeFi. Les enjeux sont différents :
Volume de transactions Des milliers de mint et trades par jour. Le moindre bug peut coûter des millions.
Expérience utilisateur “Les gamers sont impitoyables. Si une transaction coûte trop cher ou tombe en erreur, ils partent.”
Régulation Sorare doit jongler avec les régulations gaming ET crypto dans plusieurs pays.
Interopérabilité Intégration avec des APIs externes (scores sportifs, marchés secondaires).
Les learnings techniques
Auditer Sorare a forcé Damien à monter en compétence sur :
- Optimisation du gas : chaque wei compte à cette échelle
- Upgradability patterns : comment faire évoluer des contrats en production
- Off-chain / on-chain sync : vérifier la cohérence des données
- Front-running protection : crucial pour un jeu avec de l’argent réel
💡 Conseils pour aspirer auditeurs
Damien partage ses meilleurs conseils pour ceux qui veulent se lancer dans l’audit de sécurité :
1. Maîtriser Solidity à fond
“Pas juste savoir coder. Comprenez les SUBTILITÉS du langage. Pourquoi transfer() vs call() ? Quand utiliser memory vs storage ?”
Ressources recommandées :
- Solidity By Example
- Damn Vulnerable DeFi (challenges de sécurité)
- Ethernaut (CTF blockchain)
2. Participer à des bug bounties
“Immunefi, HackenProof, Code4rena… Y’a plein de plateformes. C’est le meilleur moyen d’apprendre en pratique ET de gagner de l’argent.”
Damien a gagné plus de $50K en bug bounties avant même de créer Hasheur.
3. Étudier les hacks passés
“Chaque semaine, un protocole se fait attaquer. Analysez TOUS les post-mortems. C’est votre encyclopédie de vulnérabilités.”
Ses sources favorites :
- Rekt News
- BlockSec Twitter
- PeckShield alerts
4. Construire une réputation
“Dans ce milieu, la réputation c’est TOUT. Publiez des articles, partagez vos découvertes, aidez les autres devs.”
📊 La réalité économique de l’entrepreneuriat Web3
Damien est transparent sur les chiffres :
Année 1 (2022)
- CA : ~€120K
- Bénéfice net : ~€70K
- Clients : 6 projets
Année 2 (2023)
- CA : ~€250K
- Bénéfice net : ~€150K
- Clients : 12 projets
“C’est moins qu’un dev senior chez Google. Mais je suis mon propre patron, je choisis mes projets, et je suis passionné. Pour moi, ça n’a pas de prix.”
Les difficultés à anticiper
La saisonnalité “Le marché crypto est cyclique. En bear market, les budgets audit fondent. Il faut savoir gérer.”
La responsabilité “Si je loupe une faille et qu’un protocole se fait hacker, c’est lourd à porter psychologiquement.”
La veille technologique “Solidity évolue, de nouveaux patterns apparaissent, des nouvelles attaques aussi. Il faut se former constamment.”
🔮 L’avenir : Account Abstraction et Layer 2
Damien est optimiste sur l’avenir de la sécurité blockchain :
Les prochains défis
Account Abstraction (ERC-4337) “Ça va complexifier les audits. On devra vérifier non seulement les smart contracts, mais aussi les logiques de wallets.”
ZK-Proofs “Les ZK-Rollups c’est génial pour la scalabilité, mais auditer des preuves zero-knowledge c’est un autre niveau de complexité.”
Cross-chain bridges “C’est la grosse faille de sécurité de l’écosystème. Des milliards ont été volés. Il y a énormément de travail là-dessus.”
L’évolution de Hasheur
Damien ne veut pas rester solo éternellement :
“Mon objectif : recruter 2-3 auditeurs juniors que je vais former. Créer une petite équipe d’experts français qui peuvent auditer n’importe quel projet, des NFTs aux DeFi protocols les plus complexes.”
🎬 Conclusion : Oser quitter sa zone de confort
Le parcours de Damien illustre parfaitement qu’il est possible de réussir sa transition vers le Web3, même en partant d’un environnement très différent.
Les clés de son succès :
- Préparation minutieuse (ne pas se lancer dans le vide)
- Formation intensive (devenir vraiment expert)
- Construction d’un réseau (la communauté Web3 est essentielle)
- Persistance (les débuts sont durs, il faut tenir)
- Passion authentique (impossible de réussir sans vraiment aimer ce qu’on fait)
“Si je devais résumer en une phrase”, conclut Damien, “c’est que la Web3 récompense ceux qui ont le courage d’essayer ET la discipline de vraiment maîtriser leur sujet.”
📚 Pour aller plus loin
- Hasheur : Site web pour demander un audit
- Bug Bounties : Immunefi, Code4rena, HackenProof
- Formation : Damn Vulnerable DeFi, Ethernaut, Secureum
- Communauté : Rejoignez The Arch Discord pour échanger avec d’autres builders
Cet article est un compte-rendu du Builder Talk The Arch. Les informations présentées sont données à titre informatif et reflètent l’expérience personnelle de Damien Dupont.
Et vous, avez-vous envisagé une transition vers le Web3 ? Quels sont vos freins ? Partagez dans les commentaires ! 💬
Merci à Damien Dupont pour sa disponibilité et son authenticité, et à toute l’équipe The Arch pour ces Builder Talks qui inspirent l’écosystème français. 🙏