Les investisseurs particuliers autrefois ciblés, les plateformes financières décentralisées introduisent désormais de nouvelles vulnérabilités.

Les protocoles de rendement automatisés ont construit l'argumentaire de vente au détail le plus convaincant de DeFi selon lequel le dépôt dans un coffre-fort était tout ce qu'un utilisateur devait faire, le protocole gérant tout le reste.

Pour les utilisateurs souhaitant être exposés aux rendements améliorés de Curve sans gérer manuellement les verrous $CRV, le pouvoir de vote, les wrappers, les jauges et les incitations, Stake DAO a proposé un produit qui regroupait la pile complète derrière une interface simple et, ce faisant, regroupait également ce qui pourrait casser.

Selon Blockaid, un attaquant a créé plus de 5,4 billions de vsdCRV sur Arbitrum grâce à une compromission présumée d'une clé de déploiement et a commencé à échanger des jetons contre des $ ETH.

L'attaquant a modifié la configuration des homologues liée à LayerZero pour forger un message inter-chaînes avant de frapper 5 446 744 073 709 vsdCRV, convertissant une partie en environ 43,78 $ ETH, avec une liquidité limitant l'extraction réalisée bien en dessous de la monnaie nominale.

Stake DAO a dit aux utilisateurs de ne pas interagir avec vsdCRV tant que la situation était active. L'incident s'est propagé à Curve, qui a averti les utilisateurs d'un marché Arbitrum LlamaLend concerné, et Beefy Finance a suspendu un coffre-fort connecté exposé à Curve et Convex.

Les Liquid Lockers de Stake DAO permettent aux utilisateurs de déposer des jetons de gouvernance comme $CRV, de recevoir des sdTokens liquides et d'accéder à un rendement accru et à une exposition à la gouvernance sans gérer directement la pile de verrouillage de courbe.

L'interface du coffre-fort cache tout cela et, ce faisant, masque également les clés de déploiement, la confiance de messagerie inter-chaînes, la comptabilité des jetons wrapper et les dépendances Oracle par lesquelles l'exploit a transité.

Une infographie comparant les quatre étapes que les utilisateurs voient dans les coffres-forts de rendement automatisés aux sept couches de risque cachées dont ils héritent en dessous.

Le rendement automatisé déplace la complexité DeFi hors de vue, un déplacement qui ne devient visible que lorsque quelque chose dans la couche cachée se brise.

Ido Ben-Natan, co-fondateur et PDG de Blockaid, a décrit le problème de sécurité dans une note :

"Partout où il y a de la valeur sur la chaîne, des attaquants tenteront de l'exploiter, et cela est vrai quelle que soit la simplicité ou la complexité de la stratégie d'un protocole. Deux choses importent ici. Premièrement, si les protocoles disposent de la bonne infrastructure de gouvernance pour garantir qu'il n'y a pas de point de défaillance facile à exploiter. Deuxièmement, disposer d'un outil de sécurité en chaîne en temps réel qui valide chaque transaction avant son exécution. "

Le calcul plus large

Avril 2026 a été le pire mois pour les exploits de DeFi, avec environ 635 millions de dollars extraits au cours de 28 incidents, motivés par l'ingénierie sociale, l'usurpation d'identité de pont et la reconnaissance assistée par l'IA.

Manuel Aráoz, qui a co-fondé OpenZeppelin et en a été le directeur technique jusqu'en 2019, a écrit qu'il considère désormais « tout » DeFi comme dangereux parce que les agents de codage d'IA sont devenus « surhumains » pour trouver les vulnérabilités, tandis que les défenseurs doivent corriger chaque bug et les attaquants n'en ont besoin que d'un seul.

Un graphique de données montrant avril 2026 comme le pire mois d'exploitation de DeFi, avec 635 millions de dollars perdus au cours de 28 incidents et une fausse menthe de 5,4 billions de vsdCRV.

OpenZeppelin a publiquement rejeté cette affirmation, affirmant que les messages d'Aráoz ne reflètent pas la position de l'entreprise. L’asymétrie qu’il décrit a cependant attiré l’attention au-delà du débat sur l’attribution.

Ben-Natan met l'avantage défensif dans des outils en temps réel et une détection adaptative des menaces :

"Les pirates informatiques exploitent de plus en plus l'IA pour aller plus vite et trouver de nouveaux vecteurs d'attaque. Cependant, les fournisseurs de cybersécurité en chaîne comme Blockaid ont une vaste expérience de l'utilisation de l'IA pour garder une longueur d'avance. Nous analysons et nous adaptons en permanence aux nouveaux modèles de menaces en temps réel, en utilisant des agents d'IA pour les enquêtes, les simulations et la correspondance de modèles malveillants. "

Cette capacité en temps réel fait de la validation des transactions une contre-mesure viable à la vitesse que gagnent les attaquants, et pour les protocoles de rendement automatisés, les contrôles de gouvernance et la surveillance sont devenus la véritable couche de sécurité dont dépend l'interface du coffre-fort.

Le prochain coffre-fort

Dans le cas de l'ours, davantage de compromissions clés, d'incidents de pont, de contagion d'oracle et de pauses dans le coffre-fort entraînent une réduction d'abstraction dans les produits de rendement automatisés.

Les utilisateurs exigent des rendements plus élevés pour compenser les risques cachés de la pile, ce qui rend plus difficile le maintien du rendement en un clic sans divulgation explicite des risques, et les petits coffres-forts perdent du TVL à mesure que les intégrations deviennent soumises à des risques.

Le modèle d'incidents qui a défini le mois d'avril s'étend au reste de l'année, et chaque nouvel incident renforce la perception selon laquelle l'automatisation regroupe des risques que les utilisateurs ne peuvent pas évaluer de manière indépendante.

Dans le cas du taureau, les protocoles adoptent l'architecture décrite par Ben-Natan, composée de contrôles de gouvernance qui éliminent les points de défaillance faciles, d'une validation des transactions en temps réel et d'une surveillance continue des modèles de menaces, et le rendement automatisé survit sous une forme plus standardisée.

La vérification formelle, les contrôles multisig et la surveillance du temps d'exécution deviennent l'infrastructure par défaut, et les produits qui conservent la confiance des détaillants sont ceux qui divulguent et gèrent la pile de dépendances.

Les fournisseurs de sécurité et les tableaux de bord des risques sont intégrés dans l'interface du coffre-fort lui-même, ce qui offre un avantage concurrentiel.