Community Trust ScoreVérifié
Le DeFi est en difficulté. Le 27 mai, Manuel Aráoz, cofondateur et ancien CTO d’OpenZeppelin, a conseillé aux investisseurs de retirer leur argent des principales plateformes DeFi — Aave, MakerDAO, Compound — avertissant que les agents de codage IA ont rendu beaucoup plus facile pour les attaquants de trouver des failles exploitables dans les smart contracts. La menace n’est plus théorique.
Les chiffres sont mauvais. Au cours de l’année écoulée, les exploits ont vidé plus de 1,1 milliard de dollars du secteur DeFi. Le mois d’avril a été particulièrement brutal — 635 millions de dollars perdus à travers 28 piratages distincts. Ce genre de saignement soutenu a fait chuter la valeur totale verrouillée du secteur de 172 milliards de dollars à la mi-avril à 148 milliards de dollars maintenant. Et avec le Bitcoin oscillant près de 72 000 dollars et le sentiment du marché déjà fragile, la combinaison de la pression financière et de la sophistication croissante des attaques frappe le DeFi de deux côtés à la fois.
L’IA est essentiellement la nouvelle clé passe-partout.
Pourquoi l’IA rend les attaques moins coûteuses et plus rapides
La société de capital-risque a16z a souligné comment les agents IA peuvent identifier des faiblesses critiques dans le code DeFi — les mêmes types de faiblesses qui ont alimenté les exploits majeurs du passé. Ce qui nécessitait autrefois une expertise technique approfondie demande maintenant beaucoup moins. C’est le problème central. Les attaquants qui ne pouvaient pas auparavant rétroconcevoir les vulnérabilités des smart contracts peuvent maintenant s’appuyer sur des outils IA pour faire le gros du travail. La barrière à l’entrée pour lancer une attaque sérieuse a chuté, probablement de manière significative.
L’avertissement d’Aráoz n’était pas vague. Il a spécifiquement nommé Aave, MakerDAO et Compound — trois des protocoles les plus établis et les plus audités de l’espace. S’il s’inquiète pour ceux-là, il est difficile de soutenir que les protocoles plus petits ou plus récents sont en sécurité. Sa position est en quelque sorte une fusée éclairante tirée dans l’industrie.
Mais tout le monde n’est pas d’accord pour dire que la bonne réponse est de s’en aller.
Le fondateur d’Aave, Stani Kulechov, a réagi en soulignant l’amélioration de l’infrastructure dans tout le secteur — de meilleurs moteurs de risque, des audits plus rigoureux, des systèmes de surveillance plus solides. OpenZeppelin, la société de sécurité cofondée par Aráoz, a sa propre interprétation des récents échecs : la plupart des violations ne se produisent pas à cause de défauts dans le code des smart contracts lui-même. Elles se produisent par le vol de clés privées, l’ingénierie sociale et les échecs de contrôle d’accès. Des échecs opérationnels, pas des échecs de code. C’est une distinction significative, même si cela ne rend pas les pertes moins douloureuses.
Le plan de défense IA du DeFi
Certaines protocoles ne restent pas les bras croisés. Uniswap a déployé une plateforme de développement intégrée à l’IA conçue pour faciliter les déploiements sécurisés dès le départ. OpenZeppelin a introduit de nouveaux outils qui aident les agents IA à générer des smart contracts en utilisant des bibliothèques de sécurité mises à jour — l’objectif étant de réduire la dépendance aux données de formation obsolètes qui pourraient produire du code vulnérable. Les deux initiatives reconnaissent assez directement que le développement piloté par l’IA est là, que le secteur l’aime ou non.
Deddy Lavid, PDG de Cyvers, l’a dit clairement : l’environnement se déplace vers un affrontement IA contre IA. Les attaquants utilisent l’IA pour trouver des vulnérabilités. Les défenseurs utilisent l’IA pour les repérer et les arrêter. Nansen, la plateforme de trading pilotée par l’IA, a noté que les principaux protocoles s’appuient sur des outils IA pour la défense plutôt que de se retirer complètement du développement open-source.
Sur le plan opérationnel, l’industrie ajoute des disjoncteurs, une surveillance des transactions et des contrôles multisignatures. Ce ne sont pas des mesures glamour, mais elles sont pratiques. Un disjoncteur peut mettre en pause ou ralentir une activité suspecte suffisamment longtemps pour qu’une équipe de sécurité évalue ce qui se passe avant que de réels dommages ne se produisent. Les contrôles multisignatures ajoutent des points de contrôle humains à ce qui sont autrement des systèmes automatisés. Il y a une ironie là-dedans — introduire plus de discrétion humaine dans des systèmes construits spécifiquement pour l’éliminer — mais l’alternative semble pire.
Richard Liu, cofondateur de Huma Finance, cadre le défi différemment. Il établit une comparaison avec les premiers jours du commerce numérique, lorsque la fraude était rampante et que l’industrie ne l’a pas tant éliminée qu’elle a construit des systèmes pour la gérer et la contenir. Son objectif est de minimiser les dommages causés par les échecs qui se produiront probablement de toute façon — détection en temps réel, limites de transaction, gestion robuste des clés. Pas la prévention comme solution totale. La contenance.
Le développeur de Yearn Finance, Banteg, est encore plus prudent, recommandant aux utilisateurs de s’en tenir aux protocoles matures avec de longs antécédents de sécurité prouvés. Les nouveaux protocoles, aussi prometteurs soient-ils, comportent plus de risques inconnus pour le moment.
Et cette tension — entre l’ouverture et l’absence de permission qui définissent le DeFi et les contrôles nécessaires pour l’empêcher de se vider — ne va pas disparaître. Les disjoncteurs fonctionnent. Les multisignatures fonctionnent. Mais cela signifie aussi que quelqu’un, quelque part, a un interrupteur d’arrêt. C’est une chose difficile à concilier avec la logique fondatrice de la finance décentralisée.
Les nouvelles bibliothèques de sécurité des smart contracts d’OpenZeppelin sont disponibles pour les développeurs construisant sur les principaux protocoles DeFi.
Hub : Prix, actualités et analyses d’AAVE
Questions Fréquentes
Qu’a dit Manuel Aráoz sur la sécurité du DeFi ?
Le 27 mai, Aráoz, cofondateur et ancien CTO d’OpenZeppelin, a conseillé aux investisseurs de sortir de leurs positions sur des plateformes comme Aave, MakerDAO et Compound, avertissant que les agents de codage IA ont rendu beaucoup plus facile pour les attaquants de trouver et d’exploiter des vulnérabilités.
Combien le DeFi a-t-il perdu à cause des piratages récemment ?
Le secteur a perdu plus de 1,1 milliard de dollars à cause des exploits au cours de l’année écoulée, avec le mois d’avril à lui seul représentant 635 millions de dollars à travers 28 piratages, faisant chuter la valeur totale verrouillée de 172 milliards de dollars à 148 milliards de dollars.
