Alerte d'un gourou de l'audit : Tous les protocoles DeFi sont dangereux, sortez vos fonds !

Odaily星球日报Publié le 2026-05-28Dernière mise à jour le 2026-05-28

Résumé

OpenZeppelin 的创始人 Manuel Aráoz, l'une des figures centrales de la sécurité DeFi, a émis une mise en garde sévère : selon lui, **tous les protocoles DeFi sont désormais dangereux**. Il conseille même à ses proches de retirer leurs fonds des protocoles majeurs comme Aave ou MakerDAO. La raison principale de ce revirement est l'**avènement de l'IA**. Les agents d'IA codant deviennent exponentiellement plus performants pour identifier et exploiter les vulnérabilités des smart contracts. Ce qui prenait des semaines à des experts peut maintenant être découvert en quelques minutes. Le jeu asymétrique de la sécurité – où les défenseurs doivent tout corriger et les attaquants n'ont besoin que d'une seule faille – penche désormais massivement en faveur des hackers. La réalité récente est glaçante : les piratages se multiplient. Rien qu'en avril et mai, des protocoles comme Drift Protocol, Kelp DAO, THORChain et d'autres ont subi des vols massifs, totalisant des centaines de millions de dollars. Ces attaques touchent tous les aspects, du code on-chain à la gestion hors-chaine. L'IA agit comme une arme de destruction massive pour les hackers, permettant le scan ultrarapide de code, la génération automatique de scripts d'attaque et même l'ingénierie sociale. Face à cette menace exponentielle, les processus de défense humains (audits, gouvernance, votes multi-signatures) sont beaucoup trop lents. Le rapport risque/rendement fondamental du DeFi est rompu. Alors que les rendements annuel...

Article original | Odaily Planet Daily (@OdailyChina)

Auteur | Azuma (@azuma_eth)

« Je pense qu'aucun protocole DeFi n'est sûr. »

L'affirmation laissée hier sur X par Manuel Aráoz, fondateur d'OpenZeppelin, a fait l'effet d'une bombe, ébranlant à nouveau un marché DeFi déjà moribond.

Manuel a même indiqué avoir commencé à conseiller à ses proches de retirer leurs fonds des principaux protocoles DeFi, y compris des protocoles blue-chip autrefois considérés comme à faible risque comme Aave, MakerDAO et Compound.

Il ne s'agit pas des divagations alarmistes d'un profane. Bien au contraire, Manuel lui-même est l'un des artisans centraux du système de sécurité DeFi, et OpenZeppelin est l'une des sociétés d'audit de sécurité les plus importantes du secteur. Sa bibliothèque de contrats, ses normes de sécurité et son cadre d'audit imprègnent presque tout l'écosystème DeFi.

Ce qui a provoqué ce revirement radical d'opinion chez Manuel, c'est l'IA. Manuel estime de manière pessimiste que la capacité des agents de codage IA à identifier et exploiter les vulnérabilités des smart contracts augmente de façon exponentielle.

Cela signifie que les failles qui nécessitaient des semaines de travail à des équipes de white hats de haut niveau pour être découvertes peuvent maintenant être détectées par l'IA en quelques minutes ; que les chemins d'attaque, autrefois fruits d'une longue étude de la logique du protocole par les hackers, peuvent maintenant être analysés de manière automatisée par l'IA ; et que la « transparence » autrefois vantée du DeFi devient désormais le meilleur jeu de données d'entraînement pour les attaquants.

Manuel soulève un problème encore plus critique : la sécurité des smart contracts est fondamentalement un jeu profondément asymétrique — le côté défensif doit corriger toutes les vulnérabilités, tandis que l'attaquant n'a besoin d'en trouver qu'une seule pour dérober les fonds. Avec l'augmentation exponentielle de l'efficacité offensive permise par l'IA, cette asymétrie se déséquilibre rapidement.

La réalité glaçante : Le DeFi est devenu un distributeur automatique pour les hackers

En regardant les incidents de sécurité DeFi des derniers mois, on comprend que les inquiétudes de Manuel ne sont pas exagérées.

Avril a été l'un des pires mois de l'histoire du DeFi.

  • Le 1er avril, jour du poisson d'avril, Drift Protocol a été victime d'un détournement de privilèges d'administration et d'une vulnérabilité d'exécution multisig, perdant 280 millions de dollars (voir « Un poisson d'avril ? Drift Protocol volé pour plus de 280 millions de dollars, peut-être le deuxième plus grand piratage DeFi de l'écosystème Solana »).
  • Puis, le 19 avril, Kelp DAO a perdu 292 millions de dollars suite au piratage de son protocole de bridge (voir « Nouveau vol DeFi de 292 millions de dollars, même Aave n'est plus sûr ? »). Le pirate a ensuite emprunté des protocoles de prêt comme Aave pour s'enfuir, plongeant tout le secteur DeFi dans l'ombre des mauvaises dettes et de leurs répercussions.

En entrant en mai, les incidents ne se sont pas atténués, mais se sont au contraire encore répandus.

  • Le 15 mai, THORChain a été attaqué. Un nouvel opérateur de nœud a exploité une vulnérabilité du schéma de signature à seuil GG20 (TSS) pour reconstruire la clé privée du trésor et exécuter directement des transactions sortantes, causant une perte de plus de 10 millions de dollars.
  • Le 18 mai, le protocole de bridge de Verus a été attaqué. L'attaquant a forgé un payload d'importation cross-chain, contourné la validation et extrait des actifs des réserves Ethereum, dérobant environ 11,58 millions de dollars.
  • Le 19 mai, Echo Protocol sur Monad a été attaqué suite à une fuite de clé privée. L'attaquant a frappé 1000 eBTC (d'une valeur de 76,7 millions de dollars) et a extrait les fonds via Curvance en utilisant un chemin d'attaque préalablement testé.
  • Le 24 mai, StablR, un émetteur de stablecoin conforme au cadre réglementaire MiCA, a été attaqué. Le pirate a tiré profit de la création de EURR et USDR pour plus de 2,8 millions de dollars, provoquant le décrochage de EURR et USDR.
  • Le 25 mai, le module SquidRouter a été attaqué, entraînant le vol d'environ 3 millions de dollars d'actifs dans 86 portefeuilles Gnosis Safe.
  • Le 27 mai, la clé privée du déployeur de StakeDAO sur Arbitrum a fuité. L'attaquant a frappé environ 5,45 billions de vsdCRV, en a échangé une partie contre 43,7 ETH et s'est enfui.

La fréquence élevée de ces incidents de sécurité sonne l'alarme. Du code on-chain à la gestion off-chain, le DeFi semble perdre du terrain sur toute la ligne.

L'IA est devenue l'arme nucléaire des hackers

Pourquoi la guerre offensive/défensive du DeFi s'est-elle accélérée de manière aussi brutale cet été ? En plus de l'évolution des techniques traditionnelles de piratage, les progrès fulgurants des grands modèles de langage IA deviennent le facteur décisif qui rompt l'équilibre.

Autrefois, trouver une vulnérabilité complexe dans un smart contract (impliquant notamment le cross-chain, des imbrications multi-couches ou une logique de réentrance extrêmement subtile) nécessitait des semaines voire des mois d'analyse de code par les meilleurs hackers. Cependant, avec la maturité des agents IA dotés d'un contexte ultra-long, d'un raisonnement logique puissant et de capacités d'appel d'outils autonomes, tout cela a radicalement changé.

  • Balayage en quelques secondes et recherche de « vulnérabilités zero-day » à l'échelle mondiale : Les attaquants n'ont qu'à fournir les dépôts de code open-source aux nouveaux modèles de raisonnement IA. L'IA peut alors, en quelques secondes, simuler des centaines de scénarios d'interaction extrêmes comme le ferait un expert en sécurité chevronné, et identifier avec précision les conditions limites que les auditeurs humains fatigués auraient pu manquer.
  • Génération automatisée de scripts d'attaque : L'IA peut non seulement trouver des vulnérabilités, mais aussi automatiquement écrire, tester et déployer des « smart contracts de piratage » pour extraire les fonds.
  • Orchestration parfaite du DevOps off-chain et de l'ingénierie sociale : L'IA peut se faire passer pour un développeur parfait pour du phishing, ou surveiller 24h/24 les commits GitHub des équipes DeFi. Dès qu'une équipe pousse un code de correction non vérifié ou contenant des informations sensibles, l'IA lance l'attaque en quelques secondes — bien plus vite que le temps de réponse d'un agent de sécurité humain.

Dans cette guerre de sécurité dopée à l'IA, les hackers, grâce à l'IA, disposent de munitions quasi illimitées et d'une vitesse d'attaque à la seconde, tandis que le DeFi, limité par des processus de gouvernance lents, des confirmations multisig et des audits de sécurité tardifs, peine à fournir une réponse défensive adéquate.

Le mois dernier, Anthropic, la société de développement IA derrière Claude, a officiellement annoncé son nouveau modèle, Mythos (voir « Anthropic a créé le modèle IA le plus puissant de l'histoire, mais n'ose pas le publier... »). C'est le premier modèle de l'histoire de l'humanité à dépasser la barre des dix mille milliards de paramètres (contre quelques centaines de milliards à un millier de milliards pour les modèles actuels dominants), avec un coût d'entraînement astronomique de 100 milliards de dollars.

Cependant, en raison des capacités spécialisées de Mythos en cybersécurité (Anthropic a révélé qu'en quelques semaines, le modèle avait identifié des milliers de vulnérabilités zero-day), la société n'a même pas osé publier le modèle directement, de peur qu'il ne soit utilisé de manière malveillante par la communauté des hackers. Elle prévoit plutôt de le faire tester d'abord via un programme « Ailes de Verre » par les grandes entreprises pour qu'elles corrigent préventivement leurs vulnérabilités potentielles.

Si la situation sécuritaire du DeFi est déjà si préoccupante à ce stade, il est difficile d'imaginer quelles nouvelles menées surgiront après la publication publique de Mythos.

Le plus gros problème : Le ratio risque/récompense est déjà déséquilibré

Pour les participants ordinaires au DeFi, les fournisseurs de liquidités (LP) et les baleines, la question la plus importante aujourd'hui est de s'asseoir et de faire le calcul.

Depuis longtemps, les utilisateurs choisissent de déposer des fonds dans le DeFi pour bénéficier de rendements annualisés plusieurs fois supérieurs à ceux de la finance traditionnelle. En période de bull market ou de fièvre du yield farming, des rendements de 10%, 20% voire plus suffisaient à couvrir l'acceptation psychologique d'un « risque technique potentiel ».

Mais aujourd'hui, cette logique de base a été ébranlée, voire bouleversée. Le ratio risque/récompense du DeFi est désormais déséquilibré. Côté récompense, avec un marché entré dans une phase de jeu à somme nulle et une prime de risque qui augmente, la majorité des protocoles DeFi principaux et relativement fiables offrent désormais des rendements réels à un chiffre. Côté risque, le capital des utilisateurs est exposé à une boîte noire qui peut être percée à tout moment par l'IA ou vidée en un instant par un flash loan. Si un protocole est attaqué, la valeur du token tombe à zéro et les pools de liquidités sont siphonnés en quelques minutes, sans aucune possibilité de recours légal, d'assurance ou de garantie de banque centrale.

Prendre le risque de perdre 100% de son capital pour une récompense d'environ 5% de rendement annualisé n'est clairement pas un bon calcul.

Les propos de Manuel sont peut-être absolus, mais ils déchirent le dernier voile d'illusion du DeFi. Face à la réalité où les hackers utilisent l'IA comme une arme de routine et où les incidents de sécurité éclatent sans cesse, si vous n'êtes pas prêt à accepter psychologiquement la perte potentielle de 100% de votre capital pour un certain rendement, alors « retirer ses fonds au plus vite et sécuriser ses gains » est probablement le choix le plus rationnel et le plus conforme aux principes de gestion des risques dans le cycle de marché actuel.

Questions liées

QQuel est le principal avertissement lancé par Manuel Aráoz, fondateur d'OpenZeppelin, concernant le DeFi ?

AManuel Aráoz estime que tout le secteur de la finance décentralisée (DeFi) est devenu dangereux et recommande même à ses proches de retirer leurs fonds des protocoles DeFi, y compris des projets considérés comme sûrs comme Aave, MakerDAO et Compound.

QSelon l'article, quel est le principal facteur qui a radicalement changé la donne en matière de sécurité DeFi ?

ALe principal facteur est l'émergence et le développement rapide de l'intelligence artificielle (IA), en particulier des agents de codage IA. Ces derniers peuvent identifier et exploiter les vulnérabilités des contrats intelligents avec une efficacité exponentielle, rendant les attaques beaucoup plus rapides et accessibles qu'auparavant.

QPourquoi le jeu de la sécurité des contrats intelligents est-il qualifié d'« asymétrique » dans l'article ?

ALa sécurité des contrats intelligents est asymétrique car les défenseurs (les équipes de développement et d'audit) doivent trouver et corriger toutes les vulnérabilités potentielles, tandis qu'un attaquant n'a besoin d'en trouver et d'en exploiter qu'une seule pour voler les fonds. L'IA exacerbe ce déséquilibre en renforçant massivement l'efficacité des attaquants.

QQuel exemple d'incident majeur de sécurité DeFi est cité pour le mois d'avril 2026 ?

AL'article cite deux incidents majeurs en avril 2026 : le piratage du Drift Protocol le 1er avril, avec une perte de 2,8 milliards de dollars, et l'attaque du protocole de pont de Kelp DAO le 19 avril, entraînant une perte de 2,92 milliards de dollars.

QQuel est le principal argument de l'article concernant le ratio risque/rendement pour les utilisateurs du DeFi actuellement ?

AL'article soutient que le ratio risque/rendement pour les utilisateurs du DeFi est totalement déséquilibré. Les rendements annuels sur les protocoles les plus sûrs sont souvent tombés à un chiffre (environ 5%), tandis que le risque de perdre 100% du capital en cas d'attaque reste très élevé et imprévisible, ce qui rend l'investissement peu attractif.

Lectures associées

De Web3 à l'Agent IA, le vieux VC crypto Variant mise 2 milliards sur une transformation

Variant, un vétéran du capital-risque crypto, annonce un nouveau fonds de 222 millions de dollars, le "Variant 4". Ce fonds marque une évolution de sa thèse d'investissement centrale : du concept de "propriété numérique" vers celui plus large de "souveraineté individuelle" (autonomie). Cette autonomie concerne le contrôle accru que les utilisateurs ont sur leur vie numérique, leurs actifs, leur identité et leur capacité d'action, au-delà de la simple automatisation. La distinction clé est que l'automatisation intelligente doit servir l'utilisateur final, et non la plateforme, pour véritablement accroître l'autonomie. Variant investira donc dans les technologies qui étendent cette souveraineté, en augmentant l'accès, les connaissances et la propriété des utilisateurs. Ce cadre englobe ses investissements passés dans les blockchains (Ethereum, Solana), l'infrastructure pour développeurs, les marchés financiers décentralisés et les produits grand public. Le fonds voit dans la convergence des agents d'IA intelligents et des rails financiers globaux ouverts un potentiel de transformation structurelle d'Internet, passant d'un modèle où "l'utilisateur est le produit" à un modèle où l'utilisateur dispose d'une autonomie inédite. Variant mettra son expertise, acquise dans l'écosystème crypto, au service des fondateurs qui construisent aux frontières de ces systèmes autonomes.

marsbitIl y a 8 mins

De Web3 à l'Agent IA, le vieux VC crypto Variant mise 2 milliards sur une transformation

marsbitIl y a 8 mins

La croissance explosive de Solana pousse son volume mensuel de perps au-delà des records précédents

Solana affiche une résistance notable sur le marché des dérivés malgré une volatilité baissière récente et la retest du support à 75 $. En mai 2026, le volume mensuel de ses contrats perpétuels a atteint un record historique de plus de 76,7 milliards de dollars, dépassant de 34 % le précédent pic. Cette croissance de 97 % en un mois reflète un intérêt spéculatif accru, une liquidité renforcée et une participation active, tant institutionnelle que retail. Le réseau se distingue par une exécution 100 % on-chain, garantissant transparence et découverte de prix réelle. Parallèlement, l'activité stablecoin sur Solana connaît une envolée, avec près de 79,9 milliards de dollars traités en une semaine, confirmant son rôle de plaque tournante pour la liquidité on-chain et les transactions financières numériques. Cette adoption croissante pour les paiements, le trading et la DeFi souligne la demande pour des transferts rapides et à faible coût offerts par le réseau.

bitcoinistIl y a 14 mins

La croissance explosive de Solana pousse son volume mensuel de perps au-delà des records précédents

bitcoinistIl y a 14 mins

Bloomberg révèle : Comment les riches Chinois contournent la limite annuelle de 50 000 dollars pour transférer leurs actifs ?

Bloomberg révèle que malgré le plafond annuel de 50 000 dollars par personne fixé par l'administration chinoise des changes, environ 150 milliards de dollars s'échappent chaque année via des canaux informels ou souterrains. L'article retrace l'évolution du contrôle des capitaux depuis 1994, avec un durcissement notable après la dévaluation de 2015 et une sophistication numérique accrue entre 2024 et 2026, incluant le CRS et un suivi renforcé des transactions. Cinq principales méthodes de transfert sont identifiées : le système de compensation "Duiqiao" (aucune sortie effective de RMB), le "déménagement de fourmis" utilisant les quotas légaux de multiples personnes, la falsification des factures commerciales, la migration vers des canaux de gestion de fortune des grandes banques (ex: QDII), et les arrangements structurels comme les fiducies ou l'immigration. La réponse réglementaire se concentre désormais sur les individus plutôt que sur les seules entreprises, avec le CRS comme outil de rétrospection clé pour identifier les actifs offshore. Même les cryptomonnaies, parfois perçues comme une échappatoire, font l'objet de poursuites pour infraction. La pression pour diversifier les actifs à l'étranger reste forte parmi les millions de ménages aisés chinois, malgré un "mur" réglementaire de plus en plus haut et intelligent.

marsbitIl y a 20 mins

Bloomberg révèle : Comment les riches Chinois contournent la limite annuelle de 50 000 dollars pour transférer leurs actifs ?

marsbitIl y a 20 mins

Claude Code lance des workflows dynamiques : faire en sorte que l'IA apprenne à travailler en équipe

Claude Code introduit des flux de travail dynamiques, permettant à l'IA de créer des cadres d'exécution sur mesure pour des tâches complexes. Ces workflows coordonnent plusieurs agents Claude indépendants, chacun avec son propre contexte, pour décomposer les missions, traiter en parallèle, valider de manière antagoniste et synthétiser les résultats. Cette approche vise à résoudre des problèmes courants des modèles linguistiques sur de longues tâches : la paresse agentique (arrêt prématuré), le biais d'auto-préférence (favoriser ses propres conclusions) et la dérive d'objectifs. Les flux de travail dynamiques s'appliquent au-delà du code, pour la recherche approfondie, la vérification des faits, le tri de CV, l'enquête sur les causes profondes, le brainstorming de noms ou l'examen de plans d'affaires. L'article présente des modèles pratiques comme la classification et l'exécution, l'éventail et la synthèse, la validation antagoniste, les tournois et les boucles jusqu'à l'achèvement. Il souligne que les workflows, bien que consommant généralement plus de jetons, ne sont pas une solution universelle mais représentent une direction importante : la future concurrence des outils d'IA pourrait reposer sur leur capacité à orchestrer des processus d'exécution fiables et réutilisables pour des objectifs complexes.

marsbitIl y a 1 h

Claude Code lance des workflows dynamiques : faire en sorte que l'IA apprenne à travailler en équipe

marsbitIl y a 1 h

Hyperliquid, le dépanneur de Wall Street ouvert 24h/24

Le samedi de février où son téléphone a annoncé les frappes aériennes de Trump contre l'Iran, Vala Zeinali, trader dans un fonds spéculatif, s'est immédiatement rendu sur Hyperliquid. Cette plateforme de trading décentralisée, ouverte 24h/24 et 7j/7, est devenue un repaire pour les traders de Wall Street cherchant à anticiper les marchés hors des heures d'ouverture. Zeinali y a clôturé des positions sur le pétrole pour un gain de 243%. Fondée il y a trois ans par Jeff Yan, ancien trader quantitatif, Hyperliquid répond au besoin de garder le contrôle de ses actifs, renforcé après la chute de FTX. Avec seulement 11 employés, la plateforme et sa blockchain ont généré environ 8 milliards de dollars de revenus l'an dernier. Son jeton natif, HYPE, a vu sa valeur exploser. Hyperliquid symbolise la fusion entre la finance traditionnelle et les cryptos, proposant des contrats perpétuels sur des actifs variés : Bitcoin, S&P 500, pétrole, ou même des entreprises non cotées comme SpaceX. Bien que les utilisateurs américains soient officiellement interdits, beaucoup contournent la restriction via des VPN, attirés par l'interface simple, la diversité des produits et l'absence de vérification d'identité rigoureuse. La plateforme cultive une forte communauté. Les utilisateurs interagissent directement avec l'équipe sur Discord et animent l'espace en ligne avec le mème "Hypurr". Cependant, les contrats perpétuels, avec leur effet de levier, sont très risqués. Lors d'un krach en octobre dernier, les liquidations sur Hyperliquid ont atteint 10 milliards de dollars, révélant à la fois les risques et la robustesse technique de la plateforme qui est restée opérationnelle. L'objectif ultime d'Hyperliquid est d'héberger toute activité financière. La plateforme prévoit maintenant de s'étendre aux marchés de prédiction et aux options.

marsbitIl y a 1 h

Hyperliquid, le dépanneur de Wall Street ouvert 24h/24

marsbitIl y a 1 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow