Alerte d'un gourou de l'audit : Tous les protocoles DeFi sont dangereux, sortez vos fonds !

Odaily星球日报Publié le 2026-05-28Dernière mise à jour le 2026-05-28

Résumé

OpenZeppelin 的创始人 Manuel Aráoz, l'une des figures centrales de la sécurité DeFi, a émis une mise en garde sévère : selon lui, **tous les protocoles DeFi sont désormais dangereux**. Il conseille même à ses proches de retirer leurs fonds des protocoles majeurs comme Aave ou MakerDAO. La raison principale de ce revirement est l'**avènement de l'IA**. Les agents d'IA codant deviennent exponentiellement plus performants pour identifier et exploiter les vulnérabilités des smart contracts. Ce qui prenait des semaines à des experts peut maintenant être découvert en quelques minutes. Le jeu asymétrique de la sécurité – où les défenseurs doivent tout corriger et les attaquants n'ont besoin que d'une seule faille – penche désormais massivement en faveur des hackers. La réalité récente est glaçante : les piratages se multiplient. Rien qu'en avril et mai, des protocoles comme Drift Protocol, Kelp DAO, THORChain et d'autres ont subi des vols massifs, totalisant des centaines de millions de dollars. Ces attaques touchent tous les aspects, du code on-chain à la gestion hors-chaine. L'IA agit comme une arme de destruction massive pour les hackers, permettant le scan ultrarapide de code, la génération automatique de scripts d'attaque et même l'ingénierie sociale. Face à cette menace exponentielle, les processus de défense humains (audits, gouvernance, votes multi-signatures) sont beaucoup trop lents. Le rapport risque/rendement fondamental du DeFi est rompu. Alors que les rendements annuel...

Article original | Odaily Planet Daily (@OdailyChina)

Auteur | Azuma (@azuma_eth)

« Je pense qu'aucun protocole DeFi n'est sûr. »

L'affirmation laissée hier sur X par Manuel Aráoz, fondateur d'OpenZeppelin, a fait l'effet d'une bombe, ébranlant à nouveau un marché DeFi déjà moribond.

Manuel a même indiqué avoir commencé à conseiller à ses proches de retirer leurs fonds des principaux protocoles DeFi, y compris des protocoles blue-chip autrefois considérés comme à faible risque comme Aave, MakerDAO et Compound.

Il ne s'agit pas des divagations alarmistes d'un profane. Bien au contraire, Manuel lui-même est l'un des artisans centraux du système de sécurité DeFi, et OpenZeppelin est l'une des sociétés d'audit de sécurité les plus importantes du secteur. Sa bibliothèque de contrats, ses normes de sécurité et son cadre d'audit imprègnent presque tout l'écosystème DeFi.

Ce qui a provoqué ce revirement radical d'opinion chez Manuel, c'est l'IA. Manuel estime de manière pessimiste que la capacité des agents de codage IA à identifier et exploiter les vulnérabilités des smart contracts augmente de façon exponentielle.

Cela signifie que les failles qui nécessitaient des semaines de travail à des équipes de white hats de haut niveau pour être découvertes peuvent maintenant être détectées par l'IA en quelques minutes ; que les chemins d'attaque, autrefois fruits d'une longue étude de la logique du protocole par les hackers, peuvent maintenant être analysés de manière automatisée par l'IA ; et que la « transparence » autrefois vantée du DeFi devient désormais le meilleur jeu de données d'entraînement pour les attaquants.

Manuel soulève un problème encore plus critique : la sécurité des smart contracts est fondamentalement un jeu profondément asymétrique — le côté défensif doit corriger toutes les vulnérabilités, tandis que l'attaquant n'a besoin d'en trouver qu'une seule pour dérober les fonds. Avec l'augmentation exponentielle de l'efficacité offensive permise par l'IA, cette asymétrie se déséquilibre rapidement.

La réalité glaçante : Le DeFi est devenu un distributeur automatique pour les hackers

En regardant les incidents de sécurité DeFi des derniers mois, on comprend que les inquiétudes de Manuel ne sont pas exagérées.

Avril a été l'un des pires mois de l'histoire du DeFi.

  • Le 1er avril, jour du poisson d'avril, Drift Protocol a été victime d'un détournement de privilèges d'administration et d'une vulnérabilité d'exécution multisig, perdant 280 millions de dollars (voir « Un poisson d'avril ? Drift Protocol volé pour plus de 280 millions de dollars, peut-être le deuxième plus grand piratage DeFi de l'écosystème Solana »).
  • Puis, le 19 avril, Kelp DAO a perdu 292 millions de dollars suite au piratage de son protocole de bridge (voir « Nouveau vol DeFi de 292 millions de dollars, même Aave n'est plus sûr ? »). Le pirate a ensuite emprunté des protocoles de prêt comme Aave pour s'enfuir, plongeant tout le secteur DeFi dans l'ombre des mauvaises dettes et de leurs répercussions.

En entrant en mai, les incidents ne se sont pas atténués, mais se sont au contraire encore répandus.

  • Le 15 mai, THORChain a été attaqué. Un nouvel opérateur de nœud a exploité une vulnérabilité du schéma de signature à seuil GG20 (TSS) pour reconstruire la clé privée du trésor et exécuter directement des transactions sortantes, causant une perte de plus de 10 millions de dollars.
  • Le 18 mai, le protocole de bridge de Verus a été attaqué. L'attaquant a forgé un payload d'importation cross-chain, contourné la validation et extrait des actifs des réserves Ethereum, dérobant environ 11,58 millions de dollars.
  • Le 19 mai, Echo Protocol sur Monad a été attaqué suite à une fuite de clé privée. L'attaquant a frappé 1000 eBTC (d'une valeur de 76,7 millions de dollars) et a extrait les fonds via Curvance en utilisant un chemin d'attaque préalablement testé.
  • Le 24 mai, StablR, un émetteur de stablecoin conforme au cadre réglementaire MiCA, a été attaqué. Le pirate a tiré profit de la création de EURR et USDR pour plus de 2,8 millions de dollars, provoquant le décrochage de EURR et USDR.
  • Le 25 mai, le module SquidRouter a été attaqué, entraînant le vol d'environ 3 millions de dollars d'actifs dans 86 portefeuilles Gnosis Safe.
  • Le 27 mai, la clé privée du déployeur de StakeDAO sur Arbitrum a fuité. L'attaquant a frappé environ 5,45 billions de vsdCRV, en a échangé une partie contre 43,7 ETH et s'est enfui.

La fréquence élevée de ces incidents de sécurité sonne l'alarme. Du code on-chain à la gestion off-chain, le DeFi semble perdre du terrain sur toute la ligne.

L'IA est devenue l'arme nucléaire des hackers

Pourquoi la guerre offensive/défensive du DeFi s'est-elle accélérée de manière aussi brutale cet été ? En plus de l'évolution des techniques traditionnelles de piratage, les progrès fulgurants des grands modèles de langage IA deviennent le facteur décisif qui rompt l'équilibre.

Autrefois, trouver une vulnérabilité complexe dans un smart contract (impliquant notamment le cross-chain, des imbrications multi-couches ou une logique de réentrance extrêmement subtile) nécessitait des semaines voire des mois d'analyse de code par les meilleurs hackers. Cependant, avec la maturité des agents IA dotés d'un contexte ultra-long, d'un raisonnement logique puissant et de capacités d'appel d'outils autonomes, tout cela a radicalement changé.

  • Balayage en quelques secondes et recherche de « vulnérabilités zero-day » à l'échelle mondiale : Les attaquants n'ont qu'à fournir les dépôts de code open-source aux nouveaux modèles de raisonnement IA. L'IA peut alors, en quelques secondes, simuler des centaines de scénarios d'interaction extrêmes comme le ferait un expert en sécurité chevronné, et identifier avec précision les conditions limites que les auditeurs humains fatigués auraient pu manquer.
  • Génération automatisée de scripts d'attaque : L'IA peut non seulement trouver des vulnérabilités, mais aussi automatiquement écrire, tester et déployer des « smart contracts de piratage » pour extraire les fonds.
  • Orchestration parfaite du DevOps off-chain et de l'ingénierie sociale : L'IA peut se faire passer pour un développeur parfait pour du phishing, ou surveiller 24h/24 les commits GitHub des équipes DeFi. Dès qu'une équipe pousse un code de correction non vérifié ou contenant des informations sensibles, l'IA lance l'attaque en quelques secondes — bien plus vite que le temps de réponse d'un agent de sécurité humain.

Dans cette guerre de sécurité dopée à l'IA, les hackers, grâce à l'IA, disposent de munitions quasi illimitées et d'une vitesse d'attaque à la seconde, tandis que le DeFi, limité par des processus de gouvernance lents, des confirmations multisig et des audits de sécurité tardifs, peine à fournir une réponse défensive adéquate.

Le mois dernier, Anthropic, la société de développement IA derrière Claude, a officiellement annoncé son nouveau modèle, Mythos (voir « Anthropic a créé le modèle IA le plus puissant de l'histoire, mais n'ose pas le publier... »). C'est le premier modèle de l'histoire de l'humanité à dépasser la barre des dix mille milliards de paramètres (contre quelques centaines de milliards à un millier de milliards pour les modèles actuels dominants), avec un coût d'entraînement astronomique de 100 milliards de dollars.

Cependant, en raison des capacités spécialisées de Mythos en cybersécurité (Anthropic a révélé qu'en quelques semaines, le modèle avait identifié des milliers de vulnérabilités zero-day), la société n'a même pas osé publier le modèle directement, de peur qu'il ne soit utilisé de manière malveillante par la communauté des hackers. Elle prévoit plutôt de le faire tester d'abord via un programme « Ailes de Verre » par les grandes entreprises pour qu'elles corrigent préventivement leurs vulnérabilités potentielles.

Si la situation sécuritaire du DeFi est déjà si préoccupante à ce stade, il est difficile d'imaginer quelles nouvelles menées surgiront après la publication publique de Mythos.

Le plus gros problème : Le ratio risque/récompense est déjà déséquilibré

Pour les participants ordinaires au DeFi, les fournisseurs de liquidités (LP) et les baleines, la question la plus importante aujourd'hui est de s'asseoir et de faire le calcul.

Depuis longtemps, les utilisateurs choisissent de déposer des fonds dans le DeFi pour bénéficier de rendements annualisés plusieurs fois supérieurs à ceux de la finance traditionnelle. En période de bull market ou de fièvre du yield farming, des rendements de 10%, 20% voire plus suffisaient à couvrir l'acceptation psychologique d'un « risque technique potentiel ».

Mais aujourd'hui, cette logique de base a été ébranlée, voire bouleversée. Le ratio risque/récompense du DeFi est désormais déséquilibré. Côté récompense, avec un marché entré dans une phase de jeu à somme nulle et une prime de risque qui augmente, la majorité des protocoles DeFi principaux et relativement fiables offrent désormais des rendements réels à un chiffre. Côté risque, le capital des utilisateurs est exposé à une boîte noire qui peut être percée à tout moment par l'IA ou vidée en un instant par un flash loan. Si un protocole est attaqué, la valeur du token tombe à zéro et les pools de liquidités sont siphonnés en quelques minutes, sans aucune possibilité de recours légal, d'assurance ou de garantie de banque centrale.

Prendre le risque de perdre 100% de son capital pour une récompense d'environ 5% de rendement annualisé n'est clairement pas un bon calcul.

Les propos de Manuel sont peut-être absolus, mais ils déchirent le dernier voile d'illusion du DeFi. Face à la réalité où les hackers utilisent l'IA comme une arme de routine et où les incidents de sécurité éclatent sans cesse, si vous n'êtes pas prêt à accepter psychologiquement la perte potentielle de 100% de votre capital pour un certain rendement, alors « retirer ses fonds au plus vite et sécuriser ses gains » est probablement le choix le plus rationnel et le plus conforme aux principes de gestion des risques dans le cycle de marché actuel.

Questions liées

QQuel est le principal avertissement lancé par Manuel Aráoz, fondateur d'OpenZeppelin, concernant le DeFi ?

AManuel Aráoz estime que tout le secteur de la finance décentralisée (DeFi) est devenu dangereux et recommande même à ses proches de retirer leurs fonds des protocoles DeFi, y compris des projets considérés comme sûrs comme Aave, MakerDAO et Compound.

QSelon l'article, quel est le principal facteur qui a radicalement changé la donne en matière de sécurité DeFi ?

ALe principal facteur est l'émergence et le développement rapide de l'intelligence artificielle (IA), en particulier des agents de codage IA. Ces derniers peuvent identifier et exploiter les vulnérabilités des contrats intelligents avec une efficacité exponentielle, rendant les attaques beaucoup plus rapides et accessibles qu'auparavant.

QPourquoi le jeu de la sécurité des contrats intelligents est-il qualifié d'« asymétrique » dans l'article ?

ALa sécurité des contrats intelligents est asymétrique car les défenseurs (les équipes de développement et d'audit) doivent trouver et corriger toutes les vulnérabilités potentielles, tandis qu'un attaquant n'a besoin d'en trouver et d'en exploiter qu'une seule pour voler les fonds. L'IA exacerbe ce déséquilibre en renforçant massivement l'efficacité des attaquants.

QQuel exemple d'incident majeur de sécurité DeFi est cité pour le mois d'avril 2026 ?

AL'article cite deux incidents majeurs en avril 2026 : le piratage du Drift Protocol le 1er avril, avec une perte de 2,8 milliards de dollars, et l'attaque du protocole de pont de Kelp DAO le 19 avril, entraînant une perte de 2,92 milliards de dollars.

QQuel est le principal argument de l'article concernant le ratio risque/rendement pour les utilisateurs du DeFi actuellement ?

AL'article soutient que le ratio risque/rendement pour les utilisateurs du DeFi est totalement déséquilibré. Les rendements annuels sur les protocoles les plus sûrs sont souvent tombés à un chiffre (environ 5%), tandis que le risque de perdre 100% du capital en cas d'attaque reste très élevé et imprévisible, ce qui rend l'investissement peu attractif.

Lectures associées

ChatGPT pourrait bientôt disparaître

OpenAI vient d'annoncer lors de sa conférence *Intelligence at Work* l'intégration prochaine de Codex, son application dédiée aux tâches productives, directement dans l'application ChatGPT. Cette fusion, qui interviendra dans les prochaines semaines, marque une étape clé dans la transformation de ChatGPT d'un outil de conversation en une « super-application » ou plateforme agentique unifiée. Cette décision s'appuie sur le succès rapide de Codex, qui compte désormais 5 millions d'utilisateurs actifs hebdomadaires, avec une croissance trois fois plus rapide chez les professionnels non-développeurs. Financièrement, les produits entreprise comme Codex représentent déjà 40% des revenus d'OpenAI. La stratégie est claire : évoluer du « chat » vers l'« exécution ». L'objectif ultime est de combiner ChatGPT (compréhension), Codex (exécution via des agents) et le navigateur Atlas (accès web) en une seule interface permettant d'accomplir des tâches complexes sur simple instruction verbale. Pour renforcer Codex, OpenAI a dévoilé trois grandes mises à jour : des *plugins* d'agents pour six rôles métiers intégrant des outils comme Salesforce ou Figa, la fonction *Annotations* pour modifier du contenu directement dans son contexte original, et *Sites* pour générer des applications web partageables depuis n'importe quel projet. L'article souligne que cette course a été largement motivée par le succès du concurrent Claude Code d'Anthropic, qui a forcé OpenAI à rattraper son retard dans le domaine de la programmation assistée par IA. Si Claude Code reste souvent perçu comme plus performant, Codex le concurrence sur le prix et les limites d'utilisation. En interne, cette fusion ressemble moins à ChatGPT absorbant Codex qu'à l'inverse : l'équipe et la vision produit de Codex prennent le lead sur l'avenir de la plateforme. Le nom ChatGPT, actif de marque immense, restera probablement, mais son essence évoluera fondamentalement vers un assistant exécutant capable de travailler en autonomie.

marsbitIl y a 6 mins

ChatGPT pourrait bientôt disparaître

marsbitIl y a 6 mins

WWDC26 : Un nouveau Siri en vedette, iOS 27 se contente d’améliorations mineures

Apple a confirmé que le WWDC26 débutera le 8 juin à 10h (heure locale), soit le 9 juin à 1h du matin (heure de Pékin). Le grand enjeu de cette édition sera de voir si Apple peut répondre à une question fondamentale : dans un monde où l'IA imprègne tous les appareils, l'écosystème Apple restera-t-il la meilleure plateforme de calcul ? Le point central des rumeurs concerne une refonte majeure de Siri, désormais pilotée par le modèle Gemini, qui devrait devenir l'élément principal de la conférence. Cette nouvelle Siri, intégrée plus profondément aux systèmes, serait accessible via une bulle depuis la Dynamic Island et une entrée système unifiée "Search or Ask" en glissant du haut de l'écran. Concernant les systèmes d'exploitation, les mises à jour semblent se concentrer sur des améliorations de stabilité, de performances et des ajustements pratiques plutôt que sur des transformations radicales. * **iOS 27** : L'accent serait mis sur l'optimisation des fondations. L'application Appareil photo pourrait gagner en contrôles manuels et l'application Photos en outils de retouche basés sur l'IA. Le système pourrait aussi préparer l'arrivée future d'un iPhone à écran pliable. * **iPadOS 27** : Les améliorations devraient viser à combler l'écart entre la puissance matérielle et les limites logicielles, avec un système de fenêtres (Stage Manager) plus stable et une gestion des fichiers améliorée. * **macOS 27** : Ce système pourrait devenir le terrain d'essai central pour Apple Intelligence, mieux adapté aux flux de travail complexes. Il abandonnerait le support des Mac à puces Intel et apporterait des ajustements de design et des optimisations. Le défi pour Apple sera de démontrer que son IA, au-delà de fonctions dispersées, peut s'intégrer de manière cohérente et utile dans l'expérience utilisateur quotidienne, tout en préservant ses principes de confidentialité. Le WWDC26 révélera si la société peut rattraper son retard perçu et redéfinir l'entrée dans l'ère de l'IA générative.

marsbitIl y a 31 mins

WWDC26 : Un nouveau Siri en vedette, iOS 27 se contente d’améliorations mineures

marsbitIl y a 31 mins

Loi CLARITY au cœur du dernier affrontement politique : La sénatrice Lummis réplique au PDG de JPMorgan

La sénatrice pro-crypto Cynthia Lummis et le PDG de JPMorgan, Jamie Dimon, s'opposent sur le projet de loi CLARITY Act, en cours d'examen au Sénat américain. Dimon, critique de longue date des cryptomonnaies, affirme que le texte ne prévoit pas suffisamment de garde-fous contre le blanchiment d'argent (AML/BSA) et que les entreprises de crypto devraient être soumises aux mêmes normes que les banques. Lummis rétorque que cette critique est "absolument fausse", arguant que Dimon n'a pas lu le texte. Elle souligne que la loi intègre plus de 1 600 références aux règles AML/BSA existantes, les appliquant aux activités numériques. Parallèlement, Lummis a évoqué les prochaines étapes législatives, expliquant que le Sénat travaille à fusionner les dispositions du CLARITY Act liées à la SEC avec des éléments du marché des matières premières, et à réviser la loi stablecoin GENIUS Act pour présenter un texte unifié. Elle coordonne ses efforts avec plusieurs autres sénateurs.

bitcoinistIl y a 58 mins

Loi CLARITY au cœur du dernier affrontement politique : La sénatrice Lummis réplique au PDG de JPMorgan

bitcoinistIl y a 58 mins

BREAKING : Mastercard ouvre son réseau de paiement mondial aux crypto-monnaies — Quelles altcoins font partie de l'accord ?

**Mastercard ouvre son réseau mondial de paiement à la crypto.** Le 3 juin, Mastercard a annoncé élargir son infrastructure de règlement mondial pour prendre en charge le règlement sur chaîne via des stablecoins réglementés. Cela permet pour la première fois de régler les transactions par carte 24h/24 et 7j/7, y compris les week-ends et jours fériés. **Stablecoins et blockchains sélectionnés.** Six stablecoins réglementés sont pris en charge dans un premier temps : l'USDC de Circle, le PYUSD de PayPal, l'USDG et l'USDP émis par Paxos, le RLUSD de Ripple et le SoFiUSD de SoFi. Le règlement s'effectuera sur huit réseaux blockchain : Ethereum, Solana, Polygon, Base, Arbitrum, XRP Ledger, Canton et Tempo. **Changements en back-end uniquement.** Cette annonce concerne la couche de règlement, pas une modification des produits pour les consommateurs. Les émetteurs et acquéreurs du réseau Mastercard peuvent désormais choisir de régler les transactions par carte en utilisant ces stablecoins sur chaîne, en parallèle des processus traditionnels en monnaie fiduciaire. Aucun changement n'est requis pour le titulaire de la carte. **Avantages clés.** L'infrastructure backend de compensation et de finalisation des transactions peut désormais fonctionner en continu sur des blockchains, éliminant les interruptions dues aux horaires bancaires, fermetures de week-end et jours fériés, une source historique de friction. **Partenaires et déploiement.** Les premiers partenaires incluent ARQ, CBW Bank, Cross River, Lead Bank et Nuvei. Le déploiement initial cible les États-Unis et l'Amérique latine avant une expansion plus large d'ici 2026. **Une validation institutionnelle majeure.** Ce déploiement en conditions réelles (et non comme un pilote) par le deuxième plus grand réseau de cartes au monde représente la validation institutionnelle la plus claire à ce jour pour l'économie des stablecoins, selon l'annonce.

bitcoinistIl y a 4 h

BREAKING : Mastercard ouvre son réseau de paiement mondial aux crypto-monnaies — Quelles altcoins font partie de l'accord ?

bitcoinistIl y a 4 h

L'analyste qui avait prédit le crash du Bitcoin depuis 82 000 dollars révèle la suite

L'analyste Tony, qui avait prédit le krach du Bitcoin depuis son sommet local d'environ 82 000 $, révèle ses prévisions. Selon lui, le BTC, actuellement dans un cycle baissier, devrait poursuivre sa baisse et établir de nouveaux plus bas dans les mois à venir, potentiellement autour de 50 000 $ d'ici juillet, voire sous les 40 000 $ avant la fin du cycle. Il évoque aussi un scénario alternatif de piège avec une fausse rupture au-dessus de 85 000 $ suivie d'un effondrement. Tony souligne que le BTC a cassé son canal ascendant et se trouve sous le nuage Ichimoku, signe baissier. Bien qu'un rebond à court terme depuis la zone des 67 000 $ vers 74 000 $ soit possible, la tendance principale reste à la baisse. L'analyste Colin abonde, indiquant qu'un soutien à court terme existe entre 65 000 $ et 66 000 $, mais qu'un retest des 60 000 $ est très probable, ce niveau de février ne constituant probablement pas le fond du cycle. Le Bitcoin s'échange actuellement autour de 66 300 $.

bitcoinistIl y a 4 h

L'analyste qui avait prédit le crash du Bitcoin depuis 82 000 dollars révèle la suite

bitcoinistIl y a 4 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow