Les données montrent qu'à la fin juin, la TVL du DeFi est passée d'environ 1150 milliards de dollars début d'année à environ 700 milliards de dollars, soit une baisse de 39%, avec une chute presque mensuelle.
Parallèlement, les incidents de sécurité exercent une pression supplémentaire sur le DeFi. Selon les statistiques, depuis 2026, 121 attaques de pirates ont eu lieu dans le domaine du DeFi, entraînant des pertes cumulées d'environ 942 millions de dollars. Le seul deuxième trimestre a connu 85 incidents, avec des pertes atteignant 775 millions de dollars, ce qui en fait le trimestre le plus attaqué sur cette période statistique.
Avec la généralisation des nouveaux outils d'IA, les coûts et les compétences requises pour détecter les vulnérabilités des contrats intelligents ont considérablement diminué, forçant les entreprises d'audit de sécurité au cœur de ce changement.
I. L'IA du côté de l'attaque, l'ancienne ligne de défense est en train de devenir obsolète
L'effondrement de l'ancienne logique
Lorsque l'industrie parle de l'impact de l'IA sur le secteur de la cryptographie, la première pensée va souvent au trading quantitatif, aux conseillers financiers intelligents et à l'analyse des données on-chain. Mais la réalité a pris une tournure inattendue : l'IA a d'abord percé ce qui était considéré comme le secteur le plus stable - l'audit de sécurité.
Il y a deux ou trois ans, les entreprises d'audit de sécurité étaient vues par les investisseurs comme un investissement conservateur pour participer à la croissance du secteur crypto. La logique était simple et directe : dès qu'un nouveau protocole est lancé, un audit est nécessaire ; plus l'industrie prospère, plus la demande d'audit est forte ; prix unitaire élevé, revenus stables, indépendants des fluctuations du prix des jetons.
Les données d'Immunefi montrent que les pertes des protocoles DeFi dues aux attaques de pirates ont chuté de 74% par rapport au pic de 26,2 milliards de dollars en 2022, pour atteindre environ 6,8 milliards de dollars en 2025. La part des attaques de ponts cross-chain dans les pertes totales du DeFi est passée de 73% en 2022 à seulement 3% en 2025. L'industrie pensait généralement que la maturation continue des audits de sécurité jouait un rôle.
Cependant, cette affirmation s'est progressivement avérée fausse.
Le 9 juin, Anthropic a publié son nouveau modèle d'IA Claude Mythos. Une opinion a rapidement émergé sur le marché : l'augmentation anormale de la fréquence des attaques récentes contre les principaux protocoles pourrait être liée aux améliorations continues des capacités des modèles d'IA de pointe.
Simon Dedic, fondateur de Moonrock Capital, a souligné qu'avec la généralisation des nouveaux outils d'IA, le coût et le niveau de compétence requis pour trouver des vulnérabilités dans les contrats intelligents tomberaient pratiquement à zéro, les protocoles non audités deviendraient des cibles, et les vulnérabilités connues seraient régulièrement ré-exploitées.
Les données de Chainalysis confirment cette tendance : au cours des six derniers mois, les attaques ciblant uniquement les contrats dont le code source n'est pas vérifié publiquement ont causé environ 36,7 millions de dollars de pertes. Les attaquants utilisent l'IA pour désassembler le bytecode original à la recherche de vulnérabilités, et les grands modèles de langage peuvent désormais identifier les modèles de vulnérabilités à grande échelle, en scannant systématiquement des milliers de contrats, dont Truebit, Aperture Finance, Ekubo, entre autres.
Le cycle complet de découverte à exécution pour les attaquants se réduit à quelques minutes. Les rapports d'audit traditionnels sont valables pendant des mois. Ce décalage temporel est la faille structurelle la plus fatale de l'ancien modèle d'audit.
Audités mais quand même piratés ?
Les principales cibles des hackers ne sont plus les petits protocoles de second rang. Drift Protocol est une plateforme de contrats perpétuels majeure sur Solana, dont les contrats intelligents ont été audités par plusieurs organismes de sécurité reconnus. Cependant, une enquête de TRM Labs a révélé que les attaquants ont utilisé une attaque d'ingénierie sociale pendant six mois, s'infiltrant progressivement dans l'équipe de Drift pour finalement obtenir les clés d'administration privilégiées.
La situation est similaire pour KelpDAO. Les attaquants ont exploité une vulnérabilité dans la configuration à nœud unique du pont cross-chain LayerZero, en falsifiant des dépôts et en frappant des jetons sans garantie, volant 293 millions de dollars en 46 minutes. Il a ensuite été révélé qu'une solution de configuration multi-nœuds avait été recommandée mais non adoptée. Le contrat a été audité, mais une faille dans la configuration de l'infrastructure a quand même entraîné la perte.
Dans les protocoles ayant passé un audit, malgré la couverture de l'exactitude du code, les attaquants ont contourné les défenses au niveau de la logique métier et des processus opérationnels.
D'autre part, l'IA ne scanne pas seulement les nouveaux protocoles. La société de sécurité Web3 GoPlus Security indique que les attaquants utilisent la technologie d'IA pour exploiter à grande échelle des vulnérabilités dans des contrats historiques déployés il y a plusieurs années. Le 9 juin, un contrat Ethereum déployé depuis 7 ans, Token of Power, a été attaqué, avec des pertes d'environ 1,5 million de dollars. Le 25 mai, un contrat vieux de 3 ans, WUSD.fi, a été attaqué, avec des pertes d'environ 200 000 dollars. Un ancien contrat d'Aztec Network déployé il y a 2 ans a été attaqué deux fois de suite les 14 et 18 juin, avec des pertes totales dépassant 4 millions de dollars. Cela indique que la durée de protection effective des anciens rapports d'audit est probablement tombée à zéro.
Le mois dernier, Manuel Aráoz, co-fondateur de la société de sécurité crypto OpenZeppelin, a déclaré qu'il considère désormais que "tout le DeFi n'est pas sûr", et a conseillé à ses proches de sortir toutes leurs positions DeFi, y compris Aave, MakerDAO et Compound. Sa raison est que les agents de programmation IA ont atteint une capacité surhumaine à découvrir des vulnérabilités, tandis que la sécurité des contrats intelligents est structurellement asymétrique - les défenseurs doivent corriger chaque vulnérabilité, les attaquants n'ont besoin que d'un point d'entrée efficace.
OpenZeppelin a fourni des services d'audit à Aave, Compound, Uniswap, Coinbase, et est l'un des principaux fournisseurs d'infrastructure de sécurité pour contrats intelligents dans le secteur crypto. Une telle déclaration de sa part a un poids particulier.
Cependant, le marché n'est pas unanime. Marc Zeller, contributeur à l'écosystème Aave, souligne que moins de 10% des pertes dans le DeFi au cours de la dernière année provenaient de vulnérabilités de code, le reste venant d'erreurs de configuration des paramètres de risque, de mauvaise gestion des garanties et de faiblesses opérationnelles. Michael Heinrich, PDG de 0G Labs, note également que la sécurité du prêt DeFi s'est améliorée d'environ 98% par rapport au niveau de référence de 2020.
Le problème actuel est que la portée de ce que l'audit de code peut couvrir devient de plus en plus limitée, tandis que la surface d'attaque des attaquants continue de s'étendre. L'ancien cadre de sécurité ne peut plus fournir de réponse convaincante.
II. Réponses et restructuration des porteurs de projets et des organismes d'audit
Même si l'ancienne norme d'audit présente des failles évidentes face aux attaques par IA, cela ne signifie pas que la demande d'audit disparaîtra. Au contraire, les porteurs de projets et les entreprises d'audit vont s'adapter à cette nouvelle réalité.
Court terme : Libération concentrée de la demande d'audit défensif
De nombreux protocoles majeurs déjà audités dans le passé sont confrontés à la pression de se faire ré-auditer selon les nouvelles normes de sécurité de l'ère de l'IA. Les porteurs de projets commencent à réaliser que dans le contexte d'amélioration continue des capacités d'attaque de l'IA, la durée de protection des audits traditionnels se raccourcit.
Cette demande est essentiellement une dépense défensive, et non un signal de croissance saine de l'industrie. CertiK indique dans son rapport de régulation 2026 que l'audit de sécurité des contrats intelligents passe de la meilleure pratique industrielle à une condition d'accès réglementaire, devenant un prérequis pour l'approbation des licences et la mise en bourse des jetons.
À court terme, ces dépenses défensives créeront une certaine demande d'audit, mais il s'agit davantage d'un investissement passif des porteurs de projets pour réduire les risques.
Long terme : Différenciation fondamentale du modèle économique des entreprises d'audit
Les organismes d'audit ressentent également la pression. Alors que les outils d'IA côté attaque évoluent continuellement, les entreprises leaders accélèrent le développement de leurs propres capacités de détection. Plusieurs organismes d'audit majeurs ont lancé entre 2025 et 2026 des systèmes d'audit assistés par IA, utilisant l'analyse multi-modèles parallèle et la détection automatisée pour améliorer l'efficacité.
Bien que l'efficacité s'améliore, le modèle traditionnel est sous pression. La valeur commerciale d'un rapport d'audit ponctuel diminue. À long terme, le volume d'affaires des organismes dépendant de rapports ponctuels risque de se contracter.
Des analystes de JPMorgan ont clairement indiqué que les incidents de sécurité persistants dans le DeFi limitent l'entrée des principaux investisseurs institutionnels. Ce n'est pas seulement une question de sentiment de marché, mais aussi une remise en question publique de la valeur même de l'industrie de l'audit.
Code4rena, la plateforme d'audit de contrats intelligents connue pour son mode d'audit compétitif, a récemment annoncé sa fermeture, transférant ses ressources clients et chercheurs à Immunefi. Cette plateforme avait levé 6 millions de dollars auprès de Paradigm en 2023 et était considérée comme un complément puissant au modèle d'audit traditionnel ; elle a fermé moins de deux ans après son acquisition.
Source de l'image:RooData
Le protocole de prêt DeFi Radiant, après une attaque de pirates en octobre 2024, a tenté pendant 18 mois sans pouvoir récupérer les fonds, et a annoncé son entrée en phase de fermeture. Ionic Protocol a également annoncé l'arrêt immédiat de toutes ses opérations en raison de l'impact croissant d'une faille de sécurité.
Cependant, le changement ne va pas dans un seul sens. L'IA montre également des capacités surhumaines du côté de la défense - la question est de savoir qui l'utilise en premier.
L'outil d'audit natif IA Firepan a révélé que lors d'un audit indépendant en avril 2026 du nouveau contrat AMM de Curve Finance, il a découvert une vulnérabilité combinatoire clé : examiné individuellement, chaque attribut était un code normal, mais sous une combinaison spécifique d'opérations, un attaquant pouvait contourner le mécanisme de protection des dons et retirer des fonds.
Curve avait déjà subi plusieurs tours d'examens par six organismes d'audit indépendants et était considéré comme l'un des protocoles DeFi les plus audités, mais cette vulnérabilité était restée dans l'angle mort des audits humains.
Michael Egorov, fondateur de Curve Finance, a commenté après coup que l'IA aide effectivement en matière de sécurité des contrats intelligents. Cependant, il a également noté que l'expérience réussie de l'IA dans la détection de vulnérabilités dans les navigateurs et le noyau Linux ne peut pas être directement appliquée aux contrats intelligents - les contrats intelligents n'ont généralement que quelques milliers de lignes de code, que les humains et l'IA conventionnelle peuvent raisonner pleinement. Les risques à surveiller réellement proviennent davantage des fuites de clés OpSec et des attaques de la chaîne d'approvisionnement que des vulnérabilités de code elles-mêmes.
Des cas similaires sont apparus dans le domaine des monnaies de confidentialité. Taylor Hornby, ingénieur en sécurité, mandaté par l'organisation à but non lucratif Shielded Labs, a utilisé le modèle Anthropic Opus 4.8 pour auditer le protocole Zcash, découvrant une vulnérabilité critique dans le pool de confidentialité Zcash Orchard, jamais détectée depuis 2022, qui permettait théoriquement à un attaquant de créer indéfiniment de faux ZEC non détectables sur la chaîne.
Le fondateur de Zcash, Zooko Wilcox, a ensuite publiquement remercié Anthropic. Hornby a également indiqué qu'il a ajouté Monero (XMR) à la file d'attente des audits et examinera à l'avenir la sécurité de plus de projets de monnaies de confidentialité.
On rapporte qu'OpenZeppelin a lancé le système Skills, fournissant aux agents de programmation IA des connaissances autorisées sur les bibliothèques de contrats intelligents audités, déplaçant ainsi la ligne de défense vers la phase de développement.
C'est la nouvelle direction vers laquelle les entreprises d'audit traditionnelles sont obligées de se tourner : passer d'un examen a posteriori à une intégration tout au long du cycle, d'une livraison ponctuelle à une surveillance continue, une vérification formelle et une détection des risques en temps réel sur la chaîne.
Conclusion
Dans l'ensemble, le secteur de l'audit de sécurité est en train de passer d'un modèle de rente à un modèle concurrentiel. L'IA accélère à la fois l'efficacité des attaques et fait évoluer les systèmes de défense. Ce processus affecte non seulement le modèle commercial des entreprises d'audit, mais exige aussi que l'ensemble de l'écosystème DeFi repense la manière d'investir dans la sécurité.
Pour les porteurs de projets, l'ère où un seul audit assurait la sécurité à vie est révolue. La sécurité n'est plus une formalité avant le lancement, mais une infrastructure nécessitant un investissement continu.
Pour les organismes d'audit, suivre passivement l'IA ne suffit plus. Les acteurs capables de restructurer plus rapidement l'ensemble, des outils au mode de service, ont plus de chances de rester en jeu dans la phase suivante.
