Les agents d’IA ont-ils rendu dangereux l’ensemble du secteur DeFi, évalué à 148 milliards de dollars ?
Un avertissement de l’un des premiers responsables de la sécurité de la finance décentralisée (DeFi) a transformé une période difficile de piratage en un test plus large de la façon dont l’industrie peut se défendre contre l’intelligence artificielle (IA).
Le 27 mai, Manuel Aráoz, co-fondateur et ancien directeur de la technologie d'OpenZeppelin, a conseillé aux investisseurs de quitter leurs positions DeFi, y compris l'exposition aux protocoles de prêt établis tels que Aave, MakerDAO et Compound.
Selon Aráoz, les agents de codage d’IA autonomes ont élargi l’écart entre les attaquants et les défenseurs en facilitant la recherche de vulnérabilités à grande échelle. Il a écrit :
"Les agents de codage sont surhumains pour détecter les vulnérabilités, et la sécurité des contrats intelligents est trop asymétrique. Les défenseurs doivent corriger chaque bug tandis que les attaquants n'ont besoin que d'un seul exploit pour voler des fonds."
L’avertissement a gagné du terrain car il est intervenu pendant une période de pression pour le marché DeFi au sens large. Au cours de l'année écoulée, le secteur a perdu plus de 1,1 milliard de dollars à cause d'exploits, le mois d'avril représentant 635 millions de dollars pour 28 piratages signalés.
Ces incidents de sécurité ont fait chuter la valeur totale bloquée dans la finance décentralisée d'environ 172 milliards de dollars à la mi-avril à 148 milliards de dollars au moment de la publication, soit cinq semaines consécutives de sorties de fonds. La baisse peut également être liée à la faiblesse plus large du marché, qui a vu Bitcoin approcher les 72 000 $ plus tôt dans la journée.
Néanmoins, ces chiffres ont poussé le débat sur la sécurité au-delà des protocoles individuels et vers une question plus large de savoir si l’IA a réduit le coût des attaques DeFi plus rapidement que l’industrie ne peut améliorer ses défenses.
L’IA rend la recherche de faiblesses moins coûteuse
L'avertissement d'Aráoz repose sur le fait que l'intelligence artificielle réduit fondamentalement le coût et les efforts nécessaires pour cartographier les vulnérabilités des contrats intelligents.
Au cours des dernières années, les modèles d’IA avancés ont introduit une pression immense en accélérant la découverte de vulnérabilités, les tests d’exploits et la reconnaissance opérationnelle à un coût quasi nul.
Des recherches récentes de la société de capital-risque a16z valident cette capacité offensive accélérée en notant que les agents d'IA ont systématiquement identifié les principales vulnérabilités dans les exploits DeFi historiques.
Selon l'entreprise, même lorsque les agents ne parviennent pas à réaliser un exploit, ils atteignent souvent le stade qui donne un point de départ aux attaquants. Un outil qui identifie de manière fiable les points faibles peut réduire l’expertise requise pour lancer une attaque.
Anthropic a également restreint l'accès du public à son modèle inédit de Claude Mythos, précisément en raison de sa capacité à découvrir et à militariser de manière autonome les failles logicielles.
Pour DeFi, ce développement est important car les systèmes de nombreux protocoles sont publics, composables et financièrement liquides. Ainsi, le code, les structures de gouvernance et les intégrations entourant une plateforme peuvent être étudiés ouvertement pour identifier d'éventuelles vulnérabilités.
L’IA peut rendre ce processus plus rapide et moins coûteux, augmentant ainsi la pression sur les équipes dont les défenses dépendent encore fortement des audits, des bug bounties et de l’examen manuel.
Les dirigeants du protocole soulignent une infrastructure plus solide
Cependant, les inquiétudes concernant l’IA ont suscité des réactions de la part des fondateurs et des sociétés de sécurité, qui affirment que DeFi est devenue plus résiliente que lors des cycles précédents.
La société de sécurité Blockchain OpenZeppelin a fait valoir que de nombreux incidents de sécurité récents provenaient de défaillances opérationnelles plutôt que de failles dans le code contractuel audité.
Selon l'entreprise, la plupart des pertes importantes de ces derniers mois ont été liées au vol de clés privées, à l'usurpation d'identité de pont, à l'ingénierie sociale et à des problèmes de contrôle d'accès. Cette tendance suggère que les attaquants ont souvent ciblé les systèmes autour des protocoles, notamment des équipes, des autorisations et de l’infrastructure.
Le fondateur d’Aave, Stani Kulechov, a avancé un argument similaire. Il a déclaré que l'infrastructure DeFi bénéficie aujourd'hui de meilleurs moteurs de risque, de structures de marché des prêts, de vérifications formelles, d'audits, de bug bounties, de gestion des plafonds, d'améliorations d'Oracle, de surveillance automatisée et de disjoncteurs.
Kulechov a déclaré qu'une grande partie de la surface d'attaque restante implique des défaillances opérationnelles de type Web2, notamment des contrôles internes et des processus d'infrastructure faibles.
Ce point de vue s’aligne notamment sur la vague d’exploits d’avril, où plusieurs des pertes les plus importantes étaient liées à des clés compromises, à l’ingénierie sociale et à des défaillances liées aux ponts. Pour rappel, la perte de 285 millions de dollars de Drift Protocol est liée à une campagne d'ingénierie sociale de six mois menée par le groupe nord-coréen Lazarus.
Le fondateur d'Uniswap, Hayden Adams, s'est également opposé à la conclusion plus large selon laquelle DeFi lui-même est devenu dangereux.
Il a fait valoir que des contrats intelligents bien construits peuvent prendre en charge des applications dotées de solides propriétés de sécurité, tandis que l’IA est susceptible de révéler plus rapidement un code faible, des lancements précipités et de mauvaises pratiques de développement.
Cette distinction est devenue centrale dans la réponse de l’industrie. Le débat porte de plus en plus sur quels systèmes disposent des contrôles en place pour résister aux attaques assistées par l'IA, et lesquels restent exposés en raison de opérations faibles, d'intégrations complexes ou d'une surveillance limitée.
Les équipes DeFi intègrent l’IA dans la pile de défense
Pendant ce temps, le pushba