Comment ça marche
RoboSats est un exchange pair-à-pair sur le Lightning Network accessible via Tor (et I2P) à une adresse .onion stable depuis 2022. Aucune inscription. La première chose que fait le client, c'est générer un avatar-robot à usage unique — une identité déterministe construite à partir d'un jeton aléatoire — qui devient le pseudonyme de l'utilisateur pour un seul échange. L'appariement des ordres, la messagerie et le règlement des litiges sont assurés par des coordinateurs fédérés. Chaque coordinateur publie son carnet d'ordres ; l'application cliente unifiée les agrège. Les coordinateurs ne détiennent jamais de bitcoins dans un portefeuille à eux. Ils détiennent des hold invoices Lightning : le maker bloque une caution, le taker bloque une caution et le montant de l'échange, la branche fiat se règle directement entre pairs (SEPA, Revolut, espèces en main propre, cartes cadeaux, des dizaines de méthodes), et le coordinateur libère ou rembourse les hold invoices une fois la confirmation des deux côtés. Si un pair triche, sa caution est confisquée.
KYC et confidentialité
Il n'y a aucun KYC, à aucun moment du parcours. Pas d'e-mail, pas de téléphone, pas d'identifiant. Les conditions précisent que le KYC ne sera jamais demandé. Le client par défaut est la version .onion, ce qui veut dire que le coordinateur ne voit jamais l'IP. L'avatar-robot est régénéré à chaque échange ; les transactions précédentes ne sont pas reliables aux suivantes sans réutilisation volontaire du jeton. Le récit de la confidentialité comporte deux réserves bien réelles. D'abord, la branche fiat fuit : un virement Revolut, SEPA ou bancaire est tout aussi identifiant ici que sur Bisq ou Hodl Hodl, et les comptes Revolut gelés après une série de ventes RoboSats en 24 heures ne sont pas une rareté. Ensuite, un coordinateur malveillant pourrait journaliser les métadonnées du chat — d'où l'intérêt de la fédération : le client laisse à l'utilisateur le choix d'un autre.
Forces et limites
Le projet est étonnamment propre pour un exchange open source de quatre ans. Le code est sous AGPL-3.0, le développement est conduit par le pseudonyme Reckless_Satoshi, et le modèle fédéré a fait passer le projet d'un backend unique à plusieurs opérateurs indépendants, avec un système de réputation qui se rode et des plafonds de taille d'ordre progressifs pour les nouveaux coordinateurs. Les hold invoices Lightning sont une primitive d'entiercement utile : elles suppriment le portefeuille custodial qui a historiquement été le point de défaillance de toutes les autres plateformes sans KYC. Les limites sont nettes et documentées. RoboSats n'a jamais été audité par un tiers. Le Lightning Network et le backend ne sont pas, de l'aveu même du projet, à l'épreuve d'un piratage. Les flux de hold invoices peuvent se figer si un pair passe hors ligne en cours d'échange, raison pour laquelle la plateforme se positionne sur les petits volumes — les positions importantes ont toujours leur place sur Bisq ou Haveno, qui s'appuient sur des multisig on-chain. La disponibilité des coordinateurs est inégale ; certains sont apparus et disparus depuis le lancement de la fédération. Il n'existe pas de version officielle sur l'App Store iOS ; le client Android est en sideload uniquement.
Verdict
RoboSats affiche la posture de confidentialité la plus propre de tous les exchanges Lightning en production en 2026, et le modèle fédéré répartit désormais le risque qui reposait jadis sur un backend unique. Le projet n'est pas encore au niveau audité et décennal de Bisq, et la dernière version est encore étiquetée alpha. La cible est claire : des swaps Lightning de petite à moyenne taille où la priorité est la confidentialité, pas la taille. Note : A- (8,8/10). Confiance : TRUSTED.
RoboSats affiche la posture de confidentialité la plus propre de tous les exchanges Lightning en production en 2026, et le modèle fédéré répartit désormais le risque qui reposait jadis sur un backend unique. Le projet n'est pas encore au niveau audité et décennal de Bisq, et la dernière version est encore étiquetée alpha. Note : A- (8,8/10). Confiance : TRUSTED.
