Les données montrent qu'en juin, la valeur totale verrouillée (TVL) dans DeFi est passée d'environ 1150 milliards de dollars début d'année à environ 700 milliards de dollars, soit une baisse de 39%, chutant pratiquement chaque mois.
Parallèlement, les incidents de sécurité exercent une pression supplémentaire sur le DeFi. Selon les statistiques, depuis 2026, le secteur DeFi a connu 121 attaques de pirates informatiques, entraînant des pertes cumulées d'environ 942 millions de dollars. Le deuxième trimestre à lui seul a connu 85 incidents, avec des pertes atteignant 775 millions de dollars, ce qui en fait le trimestre le plus fréquemment attaqué sur cette période.
Avec la popularisation des nouveaux outils d'IA, le coût et les compétences requises pour trouver des vulnérabilités dans les contrats intelligents ont considérablement diminué,,l'audit de sécurités'est trouvé propulsé au centre de cette transformation.
I. L'IA côté attaque, l'ancienne ligne de défense devient obsolète
L'effondrement de l'ancienne logique
Lorsque l'industrie évoque l'impact de l'IA sur le domaine crypto, les premières pensées vont souvent au trading quantitatif, aux conseillers financiers intelligents ou à l'analyse de données on-chain. Mais la réalité prend une direction surprenante : la première brèche que l'IA a ouverte est celle d'un métier que l'on croyait autrefois parmi les plus robustes du secteur – l'audit de sécurité.
Il y a deux ou trois ans, les entreprises d'audit de sécurité étaient considérées par les investisseurs comme des actifs défensifs permettant de participer à la croissance du secteur crypto. La logique était simple : chaque nouveau protocole lancé nécessite un audit ; plus l'industrie prospère, plus la demande d'audit est forte ; prix unitaire élevé, revenus stables, indépendants des fluctuations des prix des tokens.
Les données d'Immunefi montrent que les pertes dues aux attaques de pirates contre les protocoles DeFi étaient passées du pic de 26,2 milliards de dollars en 2022 à environ 6,8 milliards de dollars en 2025, soit une baisse de 74%. La part des attaques sur les ponts inter-chaînes dans les pertes totales du DeFi est passée de 73% en 2022 à seulement 3% en 2025. L'industrie croyait généralement que la maturation continue des audits de sécurité jouait un rôle.
Cependant, ce jugement a progressivement été démenti.
Le 9 juin, Anthropic a publié le nouveau modèle d'IA Claude Mythos. Une opinion est apparue sur le marché : la fréquence anormalement élevée des attaques contre les principaux protocoles récemment pourrait être liée à la progression continue des capacités des modèles d'IA de pointe.
Simon Dedic, fondateur de Moonrock Capital, souligne qu'avec la popularisation des nouveaux outils d'IA, le coût et les compétences requises pour trouver des vulnérabilités dans les contrats intelligents chuteront pratiquement à zéro, faisant des protocoles non audités des cibles, tandis que les vulnérabilités connues seront constamment réexploitées.
Les données de Chainalysis confirment cette tendance : au cours des six derniers mois, les attaques ciblant uniquement les contrats dont le code source n'était pas vérifié publiquement ont causé environ 36,7 millions de dollars de pertes. Les attaquants utilisent l'IA pour décompiler le code octet original à la recherche de vulnérabilités, et les grands modèles de langage peuvent déjà identifier des modèles de vulnérabilités à grande échelle, scannant systématiquement des milliers de contrats,, y compris Truebit, Aperture Finance, Ekubo et d'autres protocoles.
Le processus complet des attaquants, de la découverte à l'exécution, se réduit désormais à quelques minutes. L'ancien modèle d'audit, dont les rapports étaient valables sur plusieurs mois, présente une faille structurelle fatale face à ce décalage temporel.
Audité, mais quand même piraté ?
Les principales cibles des attaques ne sont plus les petits protocoles de second ou troisième rang. Drift Protocol est une plateforme leader de contrats perpétuels sur Solana, dont les contrats intelligents ont été audités par plusieurs agences de sécurité renommées à plusieurs reprises. Cependant, l'enquête de l'agence de sécurité TRM Labs montre que les attaquants ont mené une attaque d'ingénierie sociale sur six mois, infiltrant progressivement les membres de l'équipe Drift, pour finalement obtenir des clés d'administrateur privilégiées.
Le cas de KelpDAO est similaire. Les attaquants ont exploité une vulnérabilité de configuration d'un nœud de validation unique sur le pont inter-chaînes LayerZero, ont forgé des dépôts et émis des tokens sans garantie, dérobant ainsi 293 millions de dollars en 46 minutes. Il a été révélé par la suite qu'une solution de configuration multi-nœuds avait été recommandée mais n'avait pas été adoptée. Le contrat était audité, mais une faille dans la configuration de l'infrastructure a tout de même permis la perte.
Parmi les protocolesaudités, bien que la justesse du code était couverte, les attaquants ont contourné les défenses en ciblant la logique métier et les processus opérationnels.
Par ailleurs, le balayage par l'IA ne cible pas uniquement les nouveaux protocoles. La société de sécurité Web3 GoPlus Security note que les attaquants utilisent les technologies d'IA pour exploiter à grande échelle des vulnérabilités dans des contrats historiques déployés il y a plusieurs années. Le 9 juin, un contrat Ethereum déployé il y a 7 ans, Token of Power, a été attaqué, causant une perte d'environ 1,5 million de dollars ; le 25 mai, le contrat WUSD.fi en fonctionnement depuis 3 ans a été attaqué, entraînant une perte d'environ 200 000 dollars ; un ancien contrat d'Aztec Network déployé il y a 2 ans a été attaqué deux fois, les 14 et 18 juin, pour un total de plus de 4 millions de dollars de pertes.Cela indique que la période de protection effective des anciens rapports d'audit est peut-être déjà tombée à zéro.
Le mois dernier, Manuel Aráoz, co-fondateur de la société de sécurité crypto OpenZeppelin, a déclaré qu'il considérait désormais que "tout le DeFi est non sécurisé", et qu'il avait conseillé à ses proches de sortir de toutes leurs positions DeFi, y compris Aave, MakerDAO et Compound. Sa raison : la capacité des agents de programmation IA à découvrir des vulnérabilités a atteint un niveau surhumain, tandis que la structure de la sécurité des contrats intelligents est extrêmement asymétrique – les défenseurs doivent corriger chaque vulnérabilité, tandis qu'un attaquant n'a besoin de trouver qu'une seule porte d'entrée valide.
OpenZeppelin a fourni des services d'audit à Aave, Compound, Uniswap, Coinbase, et est l'un des principaux fournisseurs d'infrastructure de sécurité des contrats intelligents de l'industrie crypto. Venant de lui, cette déclaration a un poids particulier.
Cependant, le marché n'est pas unanime sur ce point. Marc Zeller, contributeur à l'écosystème Aave, mentionne que sur les pertes DeFi de l'année dernière, moins de 10% provenaient de vulnérabilités de code, le reste découlant d'erreurs de paramétrage des risques, de gestion inadéquate des garanties et de faiblesses opérationnelles en matière de sécurité. Michael Heinrich, PDG de 0G Labs, souligne également que la sécurité du prêt DeFi a augmenté d'environ 98% par rapport au niveau de référence de 2020.
Le problème aujourd'hui est que le champ d'action couvert par l'audit de code devient de plus en plus limité, tandis que la surface d'attaque exploitée par les attaquants continue de s'étendre. L'ancien cadre de sécurité ne peut plus fournir une réponse convaincante.
II. Les réponses et la restructuration des projets et des auditeurs
Bien que les anciennes normes d'audit présentent des failles évidentes face aux attaques par IA, cela ne signifie pas que la demande d'audit va disparaître. Au contraire, les projets et les sociétés d'audit vont s'adapter à la nouvelle réalité.
À court terme : Libération concentrée de la demande d'audit défensif
De nombreux protocoles leaders déjà audités sont confrontés à la pression d'être ré-audités selon les nouveaux standards de sécurité de l'ère de l'IA. Les porteurs de projets prennent conscience qu'avec l'amélioration continue des capacités offensives de l'IA, la période de protection offerte par les audits traditionnels se raccourcit.
Cette demande a essentiellement un caractère de dépense défensive, plutôt qu'elle ne signale une croissance saine de l'industrie. L'agence de sécurité CertiK souligne dans son rapport de régulation 2026 que l'audit de sécurité des contrats intelligents passe d'une meilleure pratique du secteur à une condition d'accès réglementaire, devenant une condition préalable à l'approbation des licences et à la mise sur le marché des tokens.
À court terme, cette dépense défensive générera une certaine demande d'audit, mais il s'agit davantage d'un investissement passif des porteurs de projets pour réduire les risques.
À long terme : Différenciation fondamentale du modèle économique des auditeurs
Les auditeurs ressentent également la pression. Avec l'évolution continue des outils d'IA côté attaque, les principales entreprises accélèrent le développement de leurs propres capacités de détection. Plusieurs grands auditeurs ont lancé entre 2025 et 2026 des systèmes d'audit assisté par IA, utilisant l'analyse parallèle multi-modèles et la détection automatisée pour améliorer l'efficacité.
Cette amélioration de l'efficacité s'accompagne d'une compression des modèles traditionnels. La valeur commerciale d'un rapport d'audit ponctuel diminue. À long terme, les entreprises dépendant du modèle ponctuel de rapports pourraient voir leur volume d'affaires contracter.
Des analystes de JPMorgan ont clairement indiqué que la persistance des incidents de sécurité DeFi limite l'entrée des principaux investisseurs institutionnels. Ce n'est pas qu'une question de sentiment de marché, mais aussi une remise en question publique de la valeur même de toute l'industrie de l'audit.
La plateforme d'audit de contrats intelligents Code4rena, connue pour son modèle d'audit compétitif, a récemment annoncé sa fermeture, transférant ses clients et ses ressources de chercheurs à Immunefi. Cette plateforme avait levé 6 millions de dollars auprès de Paradigm en 2023 et était considérée comme un complément puissant au modèle d'audit traditionnel. Moins de deux ans après son acquisition, elle a cessé ses activités.
Source de l'image: RootData
Le protocole de prêt DeFi Radiant, après avoir subi une attaque de pirates en octobre 2024 et malgré 18 mois d'efforts pour récupérer les fonds, a annoncé sa fermeture progressive. Ionic Protocol a également annoncé l'arrêt immédiat de toutes ses opérations en raison de l'impact croissant d'une vulnérabilité de sécurité.
Cependant, le changement n'a pas qu'une seule direction.L'IA montre également des capacités surhumaines du côté défensif – la question est de savoir qui l'utilise en premier.
L'outil d'audit natif d'IA Firepan a révélé qu'en effectuant un audit indépendant de la nouvelle version du contrat AMM de Curve Finance en avril 2026, il avait découvert une vulnérabilité combinatoire clé : chaque propriété considérée individuellement était un code normal, mais sous certaines combinaisons d'opérations spécifiques, un attaquant pouvait contourner le mécanisme de protection des dons et retirer des fonds.
Curve avait déjà subi plusieurs tours d'examen par six auditeurs indépendants, et était considéré comme l'un des protocoles DeFi les plus rigoureusement audités, mais cette vulnérabilité était restée dans l'angle mort des audits manuels.
Michael Egorov, fondateur de Curve Finance, a déclaré après coup que l'IA aide vraiment en matière de sécurité des contrats intelligents. Cependant, il a également souligné que le succès de l'IA pour détecter des vulnérabilités dans les navigateurs ou les noyaux Linux ne peut être directement transposé aux contrats intelligents – ces derniers n'ont généralement que quelques milliers de lignes de code, que les humains et l'IA conventionnelle peuvent raisonner pleinement. Les risques réels à craindre proviennent davantage des fuites de clés au niveau OpSec et des attaques de la chaîne d'approvisionnement, plutôt que des vulnérabilités de code en soi.
Un cas similaire est apparu dans le domaine des monnaies de confidentialité. L'ingénieur en sécurité Taylor Hornby, mandaté par l'organisation à but non lucratif Shielded Labs, a utilisé le modèle Anthropic Opus 4.8 pour auditer le protocole Zcash, découvrant une vulnérabilité cruciale dans le pool de confidentialité Zcash Orchard, présente depuis 2022 et jamais détectée, permettant théoriquement à un attaquant d'émettre un nombre illimité de faux ZEC indétectables sur la chaîne.
Zooko Wilcox, fondateur de Zcash, a ensuite remercié publiquement Anthropic. Hornbya égalementindiqué avoir ajouté le Monero (XMR) à la file d'attente des audits, et prévoit d'effectuer des examens de sécurité sur davantage de projets de monnaies de confidentialité à l'avenir.
Il est rapporté qu'OpenZeppelin a lancé le système Skills, fournissant aux agents de programmation IA des connaissances faisant autorité sur les bibliothèques de contrats intelligents audités, déplaçant ainsi la ligne de défense en amont, vers la phase de développement.
C'est la nouvelle direction que les auditeurs traditionnels sont contraints de prendre, passant de l'examen a posteriori à l'intégration en continu, de la livraison ponctuelle à la surveillance continue, la vérification formelle et la détection des risques en temps réel sur la chaîne.
Conclusion
Dans l'ensemble, le secteur de l'audit de sécurité passe d'un modèle de rente à un modèle de compétition. L'IA accélère à la fois l'efficacité des attaques et pousse à la modernisation des systèmes de défense. Ce processus affecte non seulement les modèles économiques des auditeurs, mais oblige également tout l'écosystème DeFi à repenser la manière d'investir dans la sécurité.
Pour les porteurs de projets, l'ère où un seul audit assurait une tranquillité perpétuelle est révolue. La sécurité n'est plus une formalité pré-lancement, mais une infrastructure nécessitant un investissement continu.
Pour les auditeurs, suivre passivement l'IA ne suffit plus. Les acteurs capables de restructurer plus rapidement leur offre, de l'outil au modèle de service complet, sont plus susceptibles de rester dans la partie lors de la prochaine phase.
