Cryptonews

L'industrie de la cryptographie peut tirer des leçons de la position de sécurité proactive d'OpenAI, en passant du contrôle des dommages aux mesures préventives.

Source
CryptoNewsTrend
Published
L'industrie de la cryptographie peut tirer des leçons de la position de sécurité proactive d'OpenAI, en passant du contrôle des dommages aux mesures préventives.

OpenAI a présenté une nouvelle initiative de cybersécurité, Daybreak, le 11 mai, conçue pour rechercher, valider et aider à corriger les vulnérabilités logicielles avant que les attaquants ne puissent les exploiter.

L'entreprise décrit l'approche comme rendant le logiciel « résilient dès la conception », en introduisant la sécurité plus tôt dans le cycle de construction grâce à l'examen du code assisté par l'IA, à la modélisation des menaces, à la validation des correctifs et à l'analyse des dépendances.

Pour les cryptomonnaies, où une panne logicielle peut entraîner une perte en capital immédiate sur un seul bloc, l’urgence est claire.

Le modèle standard dans l'industrie de la cryptographie est réactif, passant par un audit pré-lancement, une surveillance post-déploiement, une réponse lorsque les fonds sont transférés, une autopsie de la méthode, des correctifs de vulnérabilité, une négociation de remboursement et un débat sur la gouvernance.

Ce modèle présente la faiblesse que le bug n’apparaît qu’une fois que la capitale a déjà bougé. La fenêtre entre le déploiement et l’exploitation est celle où le risque est le plus élevé et où les défenses sont les plus minces.

Le rapport 2026 sur la criminalité cryptographique de TRM Labs a montré que les acteurs illicites ont volé 2,87 milliards de dollars à travers près de 150 piratages et exploits en 2025. Les attaques d'infrastructure via des clés compromises, une infrastructure de portefeuille, un accès privilégié, des surfaces frontales et des plans de contrôle ont généré 2,2 milliards de dollars de ce total.

Les exploits de code, la catégorie directement abordée par la plupart des audits, représentaient 350 millions de dollars, soit 12,1 %.

Les données de Hacken pour le premier trimestre renforcent le fait que la sécurité centrée sur l'audit a de réelles limites, puisque Web3 a perdu 482 millions de dollars sur 44 incidents au cours d'un seul trimestre. Six de ces incidents impliquaient des protocoles audités, dont un qui avait fait l'objet de 18 audits distincts.

Un vol de 282 millions de dollars n'impliquait aucune exploitation de code, l'attaquant contournant entièrement la couche contractuelle et compromettant l'infrastructure opérationnelle et sociale qui l'entoure.

Le rapport le plus récent de CertiK sur les attaques à la clé indique que 34 incidents de coercition physique vérifiés se sont produits dans le monde entre janvier et avril 2026, soit une hausse de 41 % par rapport à la même période en 2025, avec des pertes estimées à environ 101 millions de dollars sur ces quatre mois.

Selon cette trajectoire, CertiK estime que 2026 pourrait se clôturer avec environ 130 incidents. Le vecteur d'attaque est désormais la personne détenant la clé, le signataire du multisig et l'ingénieur ayant accès à la console cloud.

Les trois ensembles de données décrivent ensemble une menace qui a migré bien au-delà du contrat intelligent.

Les attaques d’infrastructure ont généré 2,2 milliards de dollars de pertes cryptographiques en 2025, dépassant les exploits de code à 0,35 milliard de dollars dans un rapport de plus de six pour un.

Ce qu’exige la « conception résiliente » en matière de cryptographie

La logique de Daybreak, appliquée à la cryptographie, pointe vers une posture de sécurité qui s'applique en permanence tout au long du cycle de vie du protocole.

OpenAI décrit une IA capable de raisonner sur des bases de code entières, d'identifier des vulnérabilités subtiles, de valider que les correctifs résolvent réellement le problème sous-jacent et d'intégrer cette capacité dans le flux de travail quotidien de création et de déploiement en tant que fonction continue.

Pour la cryptographie, cela se traduit par des exigences opérationnelles spécifiques sur l’ensemble de la pile où les pertes sont désormais concentrées.

L'examen du code sécurisé assisté par l'IA, effectué avant et tout au long du déploiement, permettrait de détecter les erreurs logiques, les lacunes de contrôle d'accès et les hypothèses dangereuses avant qu'elles n'atteignent le réseau principal. La modélisation continue des menaces lors des mises à niveau de protocole permettrait d'évaluer comment chaque mise à jour de l'architecture, dépendance d'Oracle, conception de pont ou mécanisme de gouvernance ouvre de nouvelles surfaces d'attaque.

L'analyse des dépendances et des risques Oracle serait signalée lorsqu'une intégration tierce affaiblit le modèle de sécurité du protocole qui en dépend.

La validation des correctifs avant l'exécution de la gouvernance confirmerait que les correctifs proposés corrigent la vulnérabilité et que les correctifs eux-mêmes tiennent dans des conditions contradictoires.

L'examen des accès privilégiés pour les signatures multiples, les signataires, les déploiements frontaux et les systèmes de garde s'effectuerait à une cadence régulière dans le cadre des procédures opérationnelles standard. Une surveillance qui détecte les comportements anormaux avant le départ des fonds réduirait le délai entre la détection et la réponse.

Fonction de sécurité

Ce qu'il vérifie

Pourquoi c'est important en crypto

Révision du code sécurisé assistée par l'IA

Logique contractuelle, contrôles d'accès, hypothèses dangereuses, bugs liés à la mise à niveau avant et pendant le déploiement

Aide à détecter les failles exploitables avant qu'elles n'atteignent le réseau principal, où un échec peut se transformer en perte de capital immédiate

Modélisation continue des menaces

Comment les mises à niveau des protocoles, les changements d'architecture, les mécanismes de gouvernance, les liens Oracle et les conceptions de ponts créent de nouvelles surfaces d'attaque

Maintient la sécurité alignée sur le protocole à mesure de son évolution, plutôt que de traiter le risque comme fixé au lancement

Analyse des dépendances et des risques Oracle

Que les bibliothèques tierces, les fournisseurs Oracle, les middlewares ou les composants de pont affaiblissent le modèle de sécurité du protocole

De nombreux échecs majeurs proviennent désormais de l’ensemble du contrat, et non plus du contrat seul.

Validation des correctifs avant l'exécution de la gouvernance

Si un correctif proposé corrige réellement la vulnérabilité sous-jacente et reste sûr dans des conditions contradictoires

Empêche la gouvernance d'approuver les correctifs qui semblent corrects

L'industrie de la cryptographie peut tirer des leçons de la position de sécurité proactive d'OpenAI, en passant du contrôle des dommages aux mesures préventives.