Accueil
Actualités
Détails

Crise de sécurité DeFi : Le principal auditeur avertit que tous les protocoles sont vulnérables

iconOdaily
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$60,804-5,58 %
This is the logo of the coin.
Maker
----
This is the logo of the coin.
COMP
$17,623,4 %
AI summary iconRésumé

expand icon
Les risques d'exploitation DeFi augmentent rapidement, selon Manuel Aráoz, fondateur d'OpenZeppelin, qui a averti que tous les protocoles sont désormais vulnérables. Il a exhorté ses proches à retirer leurs fonds de plateformes comme Aave et Compound. Les incidents de violation de sécurité ont fortement augmenté, avec 2,8 milliards de dollars volés sur le protocole Drift et 2,92 milliards de dollars sur Kelp DAO en avril. Aráoz a lié cette tendance à des outils de piratage alimentés par l'IA qui détectent rapidement les failles des contrats intelligents. Les investisseurs DeFi font désormais face à un rapport risque-récompense plus défavorable, avec des pertes susceptibles de dépasser les gains.

Original | Odaily Planet Daily (@OdailyChina)

Auteur | Azuma (@azuma_eth)

I think all DeFi is no longer safe.

L'affirmation laissée par Manuel Aráoz, fondateur d'OpenZeppelin, hier sur X a agi comme une bombe sous-marine, résonnant à nouveau dans un marché DeFi déjà stagnant.

Manuel a même déclaré qu'il avait commencé à conseiller à ses proches de retirer leurs fonds des divers protocoles DeFi, y compris des protocoles de premier plan autrefois considérés comme à faible risque tels qu'Aave, MakerDAO et Compound.

Ce n'est pas une alarme émise par un novice. Au contraire, Manuel est lui-même l'un des principaux architectes du système de sécurité DeFi, et OpenZeppelin est l'une des entreprises d'audit de sécurité les plus reconnues de l'industrie, dont les bibliothèques de contrats, les normes de sécurité et les cadres d'audit pénètrent presque tout l'écosystème DeFi.

La raison pour laquelle l'attitude de Manuel a radicalement changé, c'est l'IA. Manuel est pessimiste, pensant que les agents de codage IA améliorent de manière exponentielle leur capacité à identifier et à exploiter les vulnérabilités des contrats intelligents.

Cela signifie que les problèmes qui nécessitaient autrefois plusieurs semaines à une équipe de white-hats de haut niveau pour les détecter peuvent désormais être balayés par l’IA en quelques minutes ; les pirates devaient autrefois étudier longuement la logique des protocoles, mais peuvent désormais automatiser directement l’analyse des chemins d’attaque grâce à l’IA ; autrefois, la « transparence ouverte » du DeFi était un avantage, elle est devenue aujourd’hui le meilleur jeu de données d’entraînement pour les attaquants.

Manuel a également mentionné un problème plus mortel : la sécurité des contrats intelligents est fondamentalement un jeu extrêmement déséquilibré — la partie défensive doit corriger toutes les vulnérabilités, tandis que l'attaquant n'a besoin d'en trouver qu'une seule pour voler les fonds. Après que l'IA a commencé à renforcer exponentiellement l'efficacité des attaques, ce déséquilibre s'accélère rapidement.

La réalité froide : le DeFi est devenu une distributeur automatique pour les pirates

En revisitant les incidents de sécurité DeFi des derniers mois, vous constaterez que les inquiétudes de Manuel ne sont pas exagérées.

Avril a été presque le mois le plus mauvais de l'histoire du DeFi.

Après le mois de mai, les incidents n'ont pas diminué, mais se sont même aggravés.

  • Le 15 mai, THORChain a été attaqué ; des opérateurs de nœuds nouvellement ajoutés ont exploité une vulnérabilité dans le schéma de signature seuil GG20 (TSS) pour reconstituer la clé privée du coffre et effectuer directement des transactions sortantes, entraînant des pertes supérieures à 10 millions de dollars.
  • Le 18 mai, le protocole de pont de Verus a été attaqué ; l'attaquant a falsifié des charges utiles d'importation cross-chain pour contourner la validation et extraire des actifs du réservoir Ethereum, volant environ 11,58 millions de dollars.
  • Le 19 mai, le protocole Echo sur Monad a été attaqué en raison d'une fuite de clé privée ; l'attaquant a émis 1 000 eBTC (valant 76,7 millions de dollars) et a extrait les fonds via la voie d'attaque précédemment testée à travers Curvance.
  • Le 24 mai, StablR, émetteur de stablecoins conformes au cadre réglementaire MiCA, a été attaqué ; les pirates ont profité de l'émission supplémentaire d'EURR et d'USDR pour réaliser un profit supérieur à 2,8 millions de dollars, entraînant la désancrage d'EURR et d'USDR.
  • Le 25 mai, le module SquidRouter a été attaqué, entraînant le vol d'environ 3 millions de dollars d'actifs à partir de 86 portefeuilles Gnosis Safe.
  • Le 27 mai, la clé privée du déploiement de StakeDAO a été compromise sur Arbitrum ; l'attaquant a créé environ 5,45 billions de vsdCRV et en a échangé une partie contre 43,7 ETH pour s'enfuir.

Les incidents de sécurité fréquents ont sonné l'alarme : du code sur chaîne à la gestion hors chaîne, DeFi semble perdre du terrain de tous les côtés.

L'IA est devenue l'arme nucléaire des pirates

Pourquoi la lutte entre attaques et défenses DeFi a-t-elle soudainement accéléré vers un effondrement cet été ? Outre l'évolution traditionnelle des techniques de piratage, les progrès fulgurants des grands modèles d'IA deviennent le poids décisif qui bouleverse l'équilibre.

Par le passé, découvrir une vulnérabilité complexe dans un contrat intelligent — en particulier celles impliquant des chaînes croisées, des structures imbriquées multiples ou des logiques de réentrée extrêmement discrètes — nécessitait des semaines, voire des mois, d'analyse de code par des hackers de haut niveau. Toutefois, avec la maturité des agents IA dotés d'un contexte très long, d'un raisonnement logique avancé et de la capacité d'appeler des outils de manière autonome, tout cela a subi une transformation qualitative.

  • Analyse en temps réel et détection de vulnérabilités « zero-day » sur l'ensemble du réseau : les attaquants n'ont qu'à alimenter des bibliothèques de code open source à un modèle d'IA de nouvelle génération, qui peut, en quelques secondes, simuler des centaines de scénarios d'interaction extrêmes, comme un expert en sécurité chevronné, et identifier avec précision les conditions limites que les auditeurs humains pourraient manquer en raison de la fatigue.
  • Génération automatique de scripts d'attaque : l'IA peut non seulement détecter des vulnérabilités, mais aussi écrire, tester et déployer automatiquement des « contrats intelligents de piratage » pour extraire des fonds.
  • Orchestration parfaite entre DevOps hors chaîne et ingénierie sociale : l'IA peut se faire passer pour un développeur parfait dans des tentatives d'hameçonnage, ou surveiller en continu les commits GitHub des équipes DeFi. Dès qu'une équipe télécharge des informations sensibles ou du code de correctif non vérifié, l'IA lance une attaque en quelques secondes — bien plus rapidement que le temps de réponse d'un analyste de sécurité humain.

Dans cette guerre de défense et d'attaque renforcée par l'IA, les pirates bénéficient d'une quasi-infinité de balles et d'une vitesse d'attaque à la seconde, tandis que le DeFi est limité par des processus de gouvernance lents, des validations multi-signatures et des audits de sécurité en retard, rendant difficile une réponse défensive adéquate.

Le mois dernier, Anthropic, l'entreprise de développement d'IA derrière Claude, a officiellement dévoilé son nouveau modèle Mythos (voir Anthropic a créé le modèle d'IA le plus puissant de l'histoire, mais ose pas le publier…). Il s'agit du premier modèle de l'histoire humaine à dépasser le seuil de dix mille milliards de paramètres (en comparaison, les modèles dominants sur le marché actuel ont un nombre de paramètres compris entre plusieurs centaines de milliards et un billion). Le coût de son entraînement s'élève à un impressionnant 10 milliards de dollars.

Cependant, en raison des compétences spécialisées de Mythos en matière de cybersécurité (Anthropic a révélé que l'entreprise avait identifié des milliers de vulnérabilités zero-day en quelques semaines seulement en utilisant Mythos), Anthropic n'a pas osé publier directement le modèle de peur qu'il soit mal utilisé par la communauté des pirates, et prévoit plutôt de le faire tester en amont par de grandes entreprises via un programme appelé « Glass Wing » afin de détecter et corriger les vulnérabilités potentielles.

La situation de sécurité actuelle du DeFi reste extrêmement grave ; il est difficile d'imaginer quelles nouvelles menaces la publication publique de Mythos pourra déclencher dans la défense sécuritaire du secteur.

Le principal problème : le rapport risque-rendement est déséquilibré depuis longtemps

Pour les participants ordinaires à la DeFi, les fournisseurs de liquidité (LP) et les grosses poches, la question la plus importante en ce moment est de s'asseoir et de faire le calcul.

Pendant longtemps, les utilisateurs ont choisi de déposer leurs fonds dans le DeFi pour profiter de rendements annuels plusieurs fois supérieurs à ceux du système financier traditionnel. Pendant les périodes de marché haussier ou de fièvre des mining de liquidité, des rendements de 10 %, 20 % ou plus suffisaient à couvrir les attentes psychologiques des utilisateurs face aux « risques technologiques potentiels ».

Mais aujourd'hui, ce fondement sous-jacent a déjà été ébranlé, voire renversé ; le rapport risque-rendement du DeFi est déséquilibré. Du côté des rendements, avec l'entrée du marché dans une logique de partage des ressources existantes et l'élargissement des coussins de sécurité, les rendements réels de la plupart des protocoles DeFi principaux et relativement fiables sont retombés dans la fourchette des chiffres unitaires. Du côté des risques, le capital des utilisateurs est exposé à une boîte noire pouvant être compromise à tout moment par des IA ou vidée instantanément par des flash loans ; en cas d'attaque informatique sur un protocole, la valeur des jetons peut s'effondrer à zéro et les pools de liquidité être entièrement vidés en quelques minutes seulement, sans aucune couverture légale, assurance ou banque centrale pour les protéger.

Avec un risque de perte totale du capital principal pour un rendement annuel d’environ 5 %, il ne s’agit clairement pas d’un bon investissement.

Les propos de Manuel peuvent sembler extrêmes, mais ils dévoilent le dernier voile du DeFi. Face à la réalité où les pirates utilisent désormais l'IA comme arme courante et où les incidents de sécurité se multiplient dans l'industrie, si vous n'avez pas préparé mentalement à perdre 100 % de votre capital pour un rendement donné, « retirer rapidement vos fonds et sécuriser vos gains » est probablement le choix le plus rationnel et le plus conforme aux principes de gestion des risques dans ce cycle de marché.

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.