# Vulnérabilité Articles associés

Le Centre d'actualités HTX fournit les derniers articles et analyses approfondies sur "Vulnérabilité", couvrant les tendances du marché, les mises à jour des projets, les développements technologiques et les politiques réglementaires dans l'industrie crypto.

L'affaire du piratage de Raydium révèle un nouveau risque pour la DeFi : des anciens contrats oubliés

L'incident de piratage de Raydium, où environ 1,34 million de dollars d'actifs ont été volés via d'anciens pools de marché automatique (AMM) V3 abandonnés, met en lumière un risque négligé dans le DeFi : les contrats intelligents obsolètes mais toujours actifs sur la blockchain. Ces "contrats zombies", officiellement mis hors service mais techniquement exploitables, constituent une nouvelle catégorie de vulnérabilités liée à la gestion du cycle de vie des contrats. Depuis mars 2025, au moins 8 incidents similaires ont été recensés, causant des pertes d'environ 22,5 millions de dollars. Le problème vient du fait que les projets se concentrent sur les versions actuelles, négligeant de sécuriser les anciens contrats qui conservent des actifs et restent accessibles. Le contrat V3 de Raydium, par exemple, avait été abandonné suite à l'arrêt de Serum mais n'avait pas été correctement désactivé, permettant aux pirates de contourner ses contrôles obsolètes. Les plateformes de sécurité classent généralement les incidents par type de faille technique (code, oracle, clés...), masquant ainsi cette faille de gestion. Une étude académique propose pourtant de distinguer clairement les vulnérabilités de gestion du cycle de vie des contrats. Pour remédier à ce problème, il est crucial de créer une catégorie dédiée aux "contrats zombies" et d'établir un processus standardisé de désactivation sécurisée. Ce processus devrait inclure le retrait des actifs, la révocation des autorisations, la désactivation des fonctions clés et une surveillance continue. Une simple note en documentation est insuffisante et reporte le risque sur les réserves du projet. La valeur des projets DeFi réside aussi dans leur historique et leur infrastructure passée, qui doivent être sécurisés pour éviter qu'ils ne deviennent une nouvelle cible privilégiée pour les attaquants.

Foresight News06/13 06:20

L'affaire du piratage de Raydium révèle un nouveau risque pour la DeFi : des anciens contrats oubliés

Foresight News06/13 06:20

Mythos version publique officiellement en ligne : Analyse des avantages et des limites de l'audit des contrats intelligents par IA

Le modèle AI Claude Fable 5 d'Anthropic, désormais disponible en version publique, démontre une efficacité remarquable pour identifier certaines vulnérabilités dans les audits de smart contracts. Un exemple frappant est sa capacité à détecter des conflits d'emplacement de stockage ("storage slot collision"), comme illustré par un cas où un mécanisme ReentrancyGuard et un mapping de récompenses entraient en collision, créant une vulnérabilité permettant des retraits infinis de fonds. L'IA excelle dans l'analyse syntaxique, la correspondance de motifs de code et le criblage de grands volumes de code pour des défauts standardisés au sein d'un seul contrat. Cependant, l'IA présente encore des limites significatives face aux scénarios d'attaque complexes impliquant plusieurs protocoles. Le test de l'incident Curve LlamaLend sDOLA le confirme : Fable 5 n'a pas pu identifier le risque central d'une attaque reposant sur la manipulation du prix d'un actif via un pool Curve, déclenchant ensuite des liquidations exploitables. Ces vulnérabilités combinatoires, qui nécessitent une compréhension profonde de la sémantique inter-contrats et des modèles économiques DeFi, échappent encore largement aux capacités de l'audit purement automatisé. En conclusion, l'IA constitue un outil puissant pour automatiser la détection de vulnérabilités techniques localisées et améliorer l'efficacité, mais elle doit être intégrée dans un processus d'audit hybride, dirigé par des experts humains, pour couvrir efficacement les risques logiques et contextuels complexes des écosystèmes DeFi.

marsbit06/11 08:08

Mythos version publique officiellement en ligne : Analyse des avantages et des limites de l'audit des contrats intelligents par IA

marsbit06/11 08:08

Restaurer la confidentialité cryptographique : ZCASH (ZEC) passe à l'action après un crash de 50 %

Zcash (ZEC) tente de restaurer la confiance après qu'une faille de contrefaçon découverte dans son circuit de preuve à connaissance zéro Orchard a provoqué un effondrement de plus de 50% de son prix. Bien qu'un correctif d'urgence ait été déployé, les fonctions de confidentialité du protocole empêchent de vérifier si de faux jetons ont été créés. Pour répondre à cette préoccupation, Shielded Labs, la Fondation Zcash et d'autres partenaires proposent « Ironwood ». Ce système vise à permettre à chaque utilisateur de vérifier de manière indépendante l'intégrité de la masse monétaire en circulation. Il bloquerait également toute nouvelle création de pièces dans le pool Orchard et forcerait les fonds à en sortir via un mécanisme contrôlé, exposant ainsi toute tentative de contrefaçon. Cette initiative cherche à renforcer la sécurité et la transparence du réseau après l'incident, alors que le prix du ZEC avait partiellement récupéré ses pertes suite à l'application du correctif.

bitcoinist06/11 05:04

Restaurer la confidentialité cryptographique : ZCASH (ZEC) passe à l'action après un crash de 50 %

bitcoinist06/11 05:04

Beosin : 36 incidents de sécurité majeurs en mai, avec des pertes totales dépassant 76 millions de dollars

**Résumé des principaux incidents de sécurité en mai : plus de 76 millions de dollars de pertes** Selon les données de Beosin Alert, le mois de mai a enregistré 36 incidents de sécurité majeurs dans l'écosystème Web3, entraînant des pertes totales d'environ 76,15 millions de dollars. Les causes principales étaient les vulnérabilités des contrats intelligents (17 incidents) et les fuites de clés privées (10 incidents). L'incident le plus important a touché le pont cross-chain Verus-Ethereum Bridge, avec une perte de 11,58 millions de dollars due à un défaut de vérification des messages. Echo Protocol a subi une perte de 5,13 millions de dollars suite à une fuite de clé privée. Les ponts cross-chain ont été les plus touchés en valeur (près de 28 millions de dollars), tandis que les projets DeFi ont été les plus fréquemment attaqués (14 fois). Ethereum a concentré la majorité des pertes (plus de 48,76 millions de dollars), mais des incidents ont également eu lieu sur BNB Chain, Monad, TON, Monero et Bitcoin, illustrant une tendance multi-chaînes. L'analyse met en lumière trois types d'attaques : 1. **Verus** : Un défaut dans la vérification des preuves de messages cross-chain, similaire à des failles ayant touché Wormhole et Nomad par le passé. 2. **Trusted Volumes** : Une faille dans les paramètres de signature permettant de détourner les vérifications d'autorisation. 3. **StablR (et autres)** : Plusieurs incidents dus à des fuites de clés privées, souvent liés à une mauvaise gestion opérationnelle (multisig à seuil bas, absence de délai de grâce pour les fonctions critiques). La tendance générale montre une **expansion systémique des surfaces d'attaque**, allant au-delà du code pour inclure l'infrastructure, les processus opérationnels et les erreurs humaines. Les projets sont invités à adopter une approche de sécurité continue, à réviser les anciens contrats et à sécuriser les procédures de gestion des accès. Les utilisateurs doivent régulièrement vérifier et révoquer les autorisations inutiles accordées aux contrats.

marsbit06/10 09:30

Beosin : 36 incidents de sécurité majeurs en mai, avec des pertes totales dépassant 76 millions de dollars

marsbit06/10 09:30

Lorsque l'IA commence à auditer le monde : Du bug ZEC découvert par Claude à l'entrée de l'industrie crypto dans « l'ère de la sécurité récursive »

L'intelligence artificielle (IA) commence à profondément transformer la sécurité dans l'industrie de la cryptographie, comme l'illustre la découverte par Claude Opus 4.8 d'une vulnérabilité dans le système de preuve à connaissance nulle de Zcash (ZEC). Cet événement va au-delà d'une simple correction de bug ; il signale l'émergence d'une nouvelle ère de "sécurité récursive". Traditionnellement, la sécurité reposait sur l'analyse humaine périodique. Face à la complexité croissante des systèmes blockchain (Layer 2, preuves à connaissance nulle, modularité), cette approche atteint ses limites. L'IA, particulièrement les grands modèles de langage, change la donne en réduisant radicalement le coût et le temps de découverte des risques. Elle excelle dans la compréhension de systèmes complexes, l'analyse du contexte et l'identification d'anomalies dans de vastes volumes de code. Ceci crée une boucle de rétroaction similaire au concept d'"auto-amélioration récursive" évoqué par Anthropic dans le développement de l'IA. Dans la sécurité, cela se traduit par un cycle continu : le système fonctionne et génère des données, l'IA les analyse en temps réel pour identifier des menaces potentielles, les équipes les corrigent, et le système amélioré réintègre le cycle. La sécurité devient ainsi une capacité évolutive et permanente, et non plus un audit ponctuel. Cette transition ne signifie pas l'élimination des vulnérabilités. Elle accélère à la fois les capacités des défenseurs et des attaquants. L'enjeu futur ne sera pas d'avoir un système parfaitement sécurisé, mais d'être le plus rapide à détecter, valider et corriger les failles. La résilience et la vitesse de réponse deviendront des avantages compétitifs décisifs. L'incident Zcash est un signe précoce de cette reconfiguration fondamentale, où l'IA s'intègre comme un participant actif dans la gestion continue des risques.

marsbit06/08 13:34

Lorsque l'IA commence à auditer le monde : Du bug ZEC découvert par Claude à l'entrée de l'industrie crypto dans « l'ère de la sécurité récursive »

marsbit06/08 13:34

Zcash subit un effondrement historique alors que des milliards s'évaporent de sa valorisation boursière

Le marché des cryptomonnaies a été secoué par un effondrement dramatique du prix du Zcash, l'actif numérique axé sur la confidentialité perdant plus de la moitié de sa valeur en 24 heures. Cette chute a éliminé des milliards de dollars de sa capitalisation boursière. Le déclin pourrait être lié à la peur entourant une vulnérabilité récemment révélée affectant l'infrastructure de confidentialité du réseau. Un chercheur a identifié un bug permettant potentiellement de créer de faux ZEC, bien que celui-ci ait été corrigé. Le problème fondamental est que la conception privée de Zcash rend impossible la vérification de l'intégrité de l'offre totale, contrairement au Bitcoin. Cette situation souligne le compromis entre confidentialité et transparence. L'équipe de développement souligne que des chercheurs de classe mondiale travaillent constamment à renforcer le réseau, considérant la découverte de cette vulnérabilité comme un signe positif de ce processus de sécurisation actif. Une mise à niveau du réseau est envisagée pour permettre la vérification de l'offre totale et restaurer la confiance.

bitcoinist06/07 14:03

Zcash subit un effondrement historique alors que des milliards s'évaporent de sa valorisation boursière

bitcoinist06/07 14:03

La faille de Zcash suscite un intérêt pour l'audit de Monero alors que le débat sur les cryptomonnaies privées s'intensifie

La révélation par Shielded Labs d'une faille critique dans le circuit de confidentialité Orchard de Zcash a provoqué une chute de 38% du cours du ZEC en 24 heures. La vulnérabilité, découverte fin mai 2024 par l'expert en sécurité Taylor Hornby, aurait potentiellement permis à un attaquant de créer une quantité illimitée de tokens ZEC frauduleux de manière indétectable. Hornby a identifié cette faille en utilisant le modèle d'IA Opus 4.8 d'Anthropic. À la suite de cette découverte, Taylor Hornby a exprimé son intention d'auditer prochainement le Monero (XMR), une autre cryptomonnaie majeure axée sur la confidentialité. Contrairement à Zcash qui offre une confidentialité optionnelle, Monero masque par défaut les données des transactions. Cet incident relance le débat sur la sécurité des "privacy coins" et suscite un intérêt accru pour des audits externes de leurs protocoles. Le cours du ZEC, après être tombé à 290$, a depuis légèrement remonté d'environ 8%.

TheNewsCrypto06/06 14:54

La faille de Zcash suscite un intérêt pour l'audit de Monero alors que le débat sur les cryptomonnaies privées s'intensifie

TheNewsCrypto06/06 14:54

Claude Opus 4.8 trouve un bug de 4,5 milliards de dollars : l'ère de l'IA produit des pirates informatiques en masse

Un chercheur en sécurité a découvert une faille critique dans le protocole Orchard de Zcash, permettant une création illimitée de jetons, ce qui a entraîné une chute de 50% de sa valeur marchande. Cette vulnérabilité a été identifiée à l'aide de Claude Opus 4.8 d'Anthropic, un modèle d'IA récemment publié et accessible. Cet événement illustre un changement profond : l'IA rend la découverte de vulnérabilités accessible à tous, pas seulement aux experts. Des modèles comme Opus, ou le plus puissant mais restreint Claude Mythos Preview, démocratisent cette capacité. Cela génère un double problème : un flux massif de rapports de bugs, souvent faux ou de faible qualité, qui submergent les mainteneurs de logiciels libres souvent bénévoles, et la mise au jour plus rapide de vraies failles critiques auparavant cachées. La sécurité internet a longtemps reposé sur le coût élevé de la découverte des vulnérabilités. Des failles historiques comme Heartbleed ont pu persister des années. Désormais, l'IA abaisse radicalement ce coût, multipliant simultanément les découvertes et les menaces potentielles. Cependant, la capacité à *corriger* les vulnérabilités ne suit pas. Le secteur souffre déjà d'une pénurie critique de talents humains capables d'analyser, de prioriser et de réparer ces failles. La sécurité repose sur une longue chaîne de collaboration humaine, déjà sous tension. En somme, l'IA illumine l'état réel de notre infrastructure numérique, révélant les failles accumulées. Le défi n'est plus tant de les trouver, mais de trouver assez de personnes pour les réparer et maintenir la confiance dans les systèmes dont dépend notre vie quotidienne.

marsbit06/06 09:28

Claude Opus 4.8 trouve un bug de 4,5 milliards de dollars : l'ère de l'IA produit des pirates informatiques en masse

marsbit06/06 09:28

Crise de confiance dans les pièces de confidentialité ! ZEC s'effondre de plus de 56% en une journée

La pièce de confidentialité Zcash (ZEC) a subi un effondrement de plus de 56 % en une seule journée le 5 juin, effaçant près de deux mois de gains et faisant perdre environ 5 milliards de dollars de capitalisation boursière. Ce krach a été déclenché par la divulgation d'une vulnérabilité critique dans le pool de transactions privées Orchard, activé en mai 2022. Le bug, un défaut dans une preuve à connaissance nulle, permettait théoriquement à un attaquant de créer un nombre illimité de ZEC de manière indétectable en raison des propriétés de confidentialité du pool. Découvert le 29 mai par le chercheur en sécurité Taylor Hornby à l'aide d'un cadre d'audit IA, le漏洞 a été corrigé via un hard fork le 3 juin. Cependant, la nature privée d'Orchard rend impossible de prouver cryptographiquement que l'exploit n'a jamais été utilisé au cours des quatre dernières années, semant le doute sur l'intégrité de l'offre historique de ZEC. Cette incertitude a provoqué une crise de confiance. Arthur Hayes, cofondateur de BitMEX et ancien grand partisan, a annoncé la vente de toutes ses positions en ZEC, arguant que la valeur narrative de la confidentialité exige une "sécurité parfaite". Le marché a réagi par une vente de panique, avec des liquidations massives de contrats. Pour tenter de restaurer la confiance, Shielded Labs explore une mise à niveau du réseau pour mettre en œuvre un système de vérification ("tourniquet") pour les actifs quittant le nouveau pool. L'événement souligne le dilemme structurel entre l'auditabilité de l'offre et la confidentialité, ainsi que la pression accrue sur l'audit de sécurité dans la crypto avec l'avènement de l'IA.

链捕手06/05 10:20

Crise de confiance dans les pièces de confidentialité ! ZEC s'effondre de plus de 56% en une journée

链捕手06/05 10:20

ZEC chute de plus de 30% : le trou béant d'un « bug d'émission infinie » impossible à prouver comme exploité ou non

Le 5 juin, le fondateur de Zcash, Zooko Wilcox, a révélé qu'un chercheur en sécurité, Taylor Hornby, avait découvert le 29 mai une grave vulnérabilité de contrefaçon dans le pool de confidentialité Orchard de Zcash. Un attaquant pouvait générer un nombre illimité de ZEC contrefaits et indétectables au sein du pool. Bien que le problème ait été corrigé en urgence par un soft fork le 2 juin, puis un hard fork le 3 juin, la communauté ne peut pas prouver cryptographiquement si cette vulnérabilité, présente depuis le lancement d'Orchard en mai 2022, a déjà été exploitée au cours des quatre dernières années. Cette incertitude quant à l'intégrité historique de l'offre a provoqué une chute de plus de 30% du prix du ZEC. La vulnérabilité résidait dans une contrainte mathématique incomplète dans le circuit à preuve de connaissance zéro d'Orchard, permettant de falsifier la preuve de conservation des actifs. Le mécanisme existant de « Turnstile Accounting » limite les sorties du pool mais ne peut pas attester qu'aucun ZEC contrefait n'a jamais existé à l'intérieur. Pour restaurer la confiance, Shielded Labs propose une nouvelle mise à niveau impliquant un nouveau pool de confidentialité et une migration vérifiable depuis l'ancien Orchard, afin de prouver de manière transparente l'intégrité de l'offre. Il est à noter que le chercheur a utilisé le modèle d'IA générique Claude Opus 4.8, publié la veille, pour aider à découvrir cette faille complexe, signalant une diffusion des capacités de découverte de vulnérabilités vers les modèles d'usage général.

marsbit06/05 06:56

ZEC chute de plus de 30% : le trou béant d'un « bug d'émission infinie » impossible à prouver comme exploité ou non