Accueil
Actualités
Détails

Crise de sécurité DeFi : le fondateur d'OpenZeppelin avertit que tous les protocoles sont vulnérables

icon MarsBit
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$83,4730,71 %
This is the logo of the coin.
Maker
----
This is the logo of the coin.
COMP
$18,513,58 %
AI summary iconRésumé

expand icon
Le fondateur d'OpenZeppelin, Manuel Aráoz, a averti que tous les protocoles DeFi sont à risque en raison d'exploitations DeFi pilotées par l'IA. Il a conseillé à ses proches de retirer leurs fonds d'Aave, de MakerDAO et d'autres plateformes. Une faille de sécurité majeure a frappé le protocole Drift pour un montant de 2,8 milliards de dollars en avril, suivie de plus de 100 millions de dollars en mai. Aráoz affirme que l'IA peut désormais détecter les défauts des contrats intelligents en temps réel, exposant les investisseurs DeFi à de nouvelles menaces.

Original | Odaily Planet Daily (@OdailyChina)

Auteur | Azuma (@azuma_eth)

DeFi

Je pense que tout le DeFi n'est plus sûr.

L'affirmation laissée par Manuel Aráoz, fondateur d'OpenZeppelin, hier sur X, a agi comme une bombe sous-marine, résonnant à nouveau dans un marché DeFi déjà stagnant.

DeFi

Manuel a même déclaré qu'il avait commencé à conseiller à sa famille et à ses amis de retirer leurs fonds des différents protocoles DeFi, y compris des protocoles de premier plan autrefois considérés comme à faible risque, tels qu'Aave, MakerDAO et Compound.

Ce n'est pas une alarme émise par un novice. Au contraire, Manuel est lui-même l'un des principaux architectes du système de sécurité DeFi, et OpenZeppelin est l'une des entreprises d'audit de sécurité les plus reconnues de l'industrie, dont les bibliothèques de contrats, les normes de sécurité et les cadres d'audit pénètrent presque tout l'écosystème DeFi.

La raison pour laquelle l'attitude de Manuel a radicalement changé, c'est l'IA. Manuel est pessimiste, pensant que les agents de codage IA améliorent de manière exponentielle leur capacité à identifier et à exploiter les vulnérabilités des contrats intelligents.

Cela signifie que les problèmes qui nécessitaient autrefois plusieurs semaines à une équipe de white hats de haut niveau pour être découverts peuvent désormais être détectés par l’IA en quelques minutes ; les pirates qui devaient autrefois étudier longuement la logique des protocoles peuvent désormais automatiser directement l’analyse des chemins d’attaque grâce à l’IA ; la « transparence ouverte » du DeFi, qui était autrefois un avantage, est devenue aujourd’hui le meilleur jeu de données d’entraînement pour les attaquants.

Manuel a également mentionné un problème plus mortel : la sécurité des contrats intelligents est essentiellement un jeu extrêmement déséquilibré — le défenseur doit corriger toutes les vulnérabilités, tandis que l'attaquant n'a besoin d'en trouver qu'une seule pour voler les fonds. Après que l'IA a commencé à renforcer exponentiellement l'efficacité des attaques, ce déséquilibre s'accélère rapidement.

La réalité froide : le DeFi est devenu une banque automatique pour les pirates

En revenant sur les incidents de sécurité DeFi des derniers mois, vous constaterez que les inquiétudes de Manuel ne sont pas exagérées.

Avril a été presque le mois le plus mauvais de l'histoire du DeFi.

  • Le 1er avril, jour de poisson d'avril, Drift Protocol a été victime d'un vol de 280 millions de dollars en raison d'une prise de contrôle des droits d'administrateur et d'une vulnérabilité dans l'exécution du multisig (voir « Blague du 1er avril ? Drift Protocol volé de plus de 280 millions de dollars, potentiellement le deuxième plus grand vol DeFi sur Solana »).
  • Ensuite, le 19 avril, Kelp DAO a été victime d'un vol de 292 millions de dollars en raison d'une faille dans son protocole de pont (voir « DeFi à nouveau volé à hauteur de 292 millions de dollars, Aave n'est plus en sécurité ? ») ; les pirates ont ensuite utilisé des protocoles de prêt tels qu'Aave pour s'échapper, plongeant tout l'écosystème DeFi sous le poids des impayés et de leurs conséquences en chaîne.

Après l'entrée en mai, les incidents n'ont pas diminué, mais se sont même aggravés.

  • Le 15 mai, THORChain a été attaqué ; des opérateurs de nœuds nouvellement ajoutés ont exploité une vulnérabilité dans le schéma de signature seuil GG20 (TSS) pour reconstituer la clé privée du coffre et effectuer directement des transactions sortantes, entraînant des pertes supérieures à 10 millions de dollars.
  • Le 18 mai, le protocole de pont de Verus a été attaqué ; l'attaquant a falsifié des payloads d'importation cross-chain pour contourner la validation et extraire des actifs du réservoir Ethereum, volant environ 11,58 millions de dollars.
  • Le 19 mai, le protocole Echo sur Monad a été attaqué en raison d'une fuite de clé privée ; l'attaquant a émis 1 000 eBTC (valant 76,7 millions de dollars) et a extrait les fonds via la voie d'attaque précédemment testée à travers Curvance.
  • Le 24 mai, StablR, émetteur de stablecoins conformes au cadre réglementaire MiCA, a été attaqué ; les pirates ont obtenu un profit de plus de 2,8 millions de dollars en émettant des EURR et des USDR supplémentaires, provoquant la désancrage des EURR et des USDR.
  • Le 25 mai, le module SquidRouter a été attaqué, entraînant le vol d'environ 3 millions de dollars d'actifs provenant de 86 portefeuilles Gnosis Safe.
  • Le 27 mai, la clé privée du déploiement de StakeDAO a été compromise sur Arbitrum ; l'attaquant a forgé environ 5,45 billions de vsdCRV et en a échangé une partie contre 43,7 ETH pour s'enfuir.

Les incidents de sécurité fréquents ont sonné l'alarme : du code sur chaîne à la gestion hors chaîne, DeFi semble perdre du terrain de tous les côtés.

L'IA est devenue l'arme nucléaire des pirates

Pourquoi la lutte entre attaques et défenses DeFi a-t-elle soudainement accéléré vers un effondrement cet été ? Outre l'évolution traditionnelle des techniques de piratage, les progrès fulgurants des grands modèles d'IA deviennent la pesée ultime qui déstabilise l'équilibre.

Par le passé, découvrir une vulnérabilité complexe dans un contrat intelligent — en particulier celles impliquant des chaînes croisées, des structures emboîtées multiples ou des logiques de réentrée extrêmement discrètes — nécessitait des semaines, voire des mois, d'analyse de code par des hackers de haut niveau. Toutefois, avec la maturité des agents IA dotés d'un contexte très long, d'un raisonnement logique avancé et de la capacité d'appeler des outils de manière autonome, tout cela a subi une transformation qualitative.

  • Analyse en temps réel et détection de vulnérabilités « zero-day » à l'échelle mondiale : les attaquants n'ont qu'à alimenter des bibliothèques de code open source à un modèle d'IA de nouvelle génération, qui peut, en quelques secondes, simuler des centaines de scénarios d'interaction extrêmes, comme un expert en sécurité chevronné, et identifier avec précision les conditions limites que les auditeurs humains pourraient omettre en cas de fatigue.
  • Génération automatisée de scripts d'attaque : l'IA peut non seulement détecter des vulnérabilités, mais aussi écrire, tester et déployer automatiquement des « contrats intelligents de piratage » destinés à extraire des fonds.
  • Orchestration parfaite entre DevOps hors chaîne et ingénierie sociale : l'IA peut se faire passer pour un développeur parfait dans des tentatives d'hameçonnage, ou surveiller en continu les commits GitHub des équipes DeFi. Dès qu'une équipe télécharge des informations sensibles ou du code de correctif non vérifié, l'IA lance une attaque en quelques secondes — bien plus vite que le temps de réponse d'un analyste de sécurité humain.

Dans cette guerre de défense et d'attaque renforcée par l'IA, les pirates bénéficient d'une quasi-infinité de balles et d'une vitesse d'attaque en quelques secondes, tandis que le DeFi est limité par des processus de gouvernance lents, des validations multi-signatures et des audits de sécurité en retard, rendant difficile une réponse défensive adéquate.

Le mois dernier, Anthropic, l'entreprise de développement d'IA derrière Claude, a officiellement dévoilé son nouveau modèle Mythos (voir « Anthropic a créé le modèle d'IA le plus puissant de l'histoire, mais ose pas le publier... »). Il s'agit du premier modèle de l'histoire humaine à dépasser le seuil de dix mille milliards de paramètres (en comparaison, les modèles dominants actuels sur le marché ont un nombre de paramètres compris entre plusieurs centaines de milliards et un billion), avec un coût d'entraînement impressionnant de 10 milliards de dollars.

Cependant, en raison des compétences spécialisées de Mythos en matière de cybersécurité (Anthropic a révélé que l'entreprise avait identifié des milliers de vulnérabilités zero-day en quelques semaines à peine en utilisant Mythos), Anthropic n'a pas osé publier directement le modèle de peur qu'il ne soit mal utilisé par la communauté des pirates, et prévoit plutôt de le faire tester en amont par de grandes entreprises via un programme appelé « Glass Wing » afin de détecter et corriger les vulnérabilités potentielles.

La situation de sécurité actuelle du DeFi reste extrêmement préoccupante ; il est difficile d'imaginer quelles nouvelles menaces la publication publique de Mythos fera émerger dans la défense sécuritaire du secteur.

Le principal problème : le rapport risque-rendement est déséquilibré depuis longtemps

Pour les participants ordinaires à la DeFi, les fournisseurs de liquidité (LP) et les grosses poches, la question la plus importante en ce moment est de s'asseoir et de faire le calcul.

Pendant longtemps, les utilisateurs ont choisi de déposer leurs fonds dans le DeFi pour profiter de rendements annuels plusieurs fois supérieurs à ceux du système financier traditionnel. Pendant les marchés haussiers ou les périodes de folie des yield farming, des rendements de 10 %, 20 % ou plus suffisaient à couvrir les attentes psychologiques des utilisateurs face aux « risques technologiques potentiels ».

Mais aujourd'hui, ce fondement sous-jacent a déjà été ébranlé, voire renversé : le rapport risque-rendement du DeFi est déséquilibré. Du côté des rendements, avec l'entrée du marché dans une logique de partage de la richesse existante et l'élargissement des coussins de sécurité, les rendements réels de la plupart des protocoles DeFi principaux et relativement fiables sont retombés dans la fourchette des chiffres unitaires. Du côté des risques, le capital des utilisateurs est exposé à une boîte noire pouvant être compromise à tout moment par une attaque d'IA ou vidée instantanément par des flash loans ; en cas d'attaque informatique sur le protocole, la valeur des jetons peut tomber à zéro et les pools de liquidité être entièrement vidés en quelques minutes seulement, sans aucune couverture légale, assurance ou banque centrale pour les indemniser.

Avec un risque de perte totale du capital principal pour un rendement annuel d’environ 5 %, il ne s’agit clairement pas d’un bon investissement.

Les propos de Manuel peuvent sembler extrêmes, mais ils dévoilent le dernier voile du DeFi. Face à la réalité où les pirates utilisent désormais l'IA comme arme courante et où les incidents de sécurité se multiplient dans l'industrie, si vous n'êtes pas prêt à accepter la perte potentielle de 100 % de votre capital en échange d'un rendement donné, « retirer rapidement vos fonds et sécuriser vos gains » est probablement le choix le plus rationnel et le plus conforme aux principes de gestion des risques dans ce cycle de marché.

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.