Alerte d'un gourou de l'audit : Tous les protocoles DeFi sont dangereux, sortez vos fonds !

Odaily星球日报Publié le 2026-05-28Dernière mise à jour le 2026-05-28

Résumé

OpenZeppelin 的创始人 Manuel Aráoz, l'une des figures centrales de la sécurité DeFi, a émis une mise en garde sévère : selon lui, **tous les protocoles DeFi sont désormais dangereux**. Il conseille même à ses proches de retirer leurs fonds des protocoles majeurs comme Aave ou MakerDAO. La raison principale de ce revirement est l'**avènement de l'IA**. Les agents d'IA codant deviennent exponentiellement plus performants pour identifier et exploiter les vulnérabilités des smart contracts. Ce qui prenait des semaines à des experts peut maintenant être découvert en quelques minutes. Le jeu asymétrique de la sécurité – où les défenseurs doivent tout corriger et les attaquants n'ont besoin que d'une seule faille – penche désormais massivement en faveur des hackers. La réalité récente est glaçante : les piratages se multiplient. Rien qu'en avril et mai, des protocoles comme Drift Protocol, Kelp DAO, THORChain et d'autres ont subi des vols massifs, totalisant des centaines de millions de dollars. Ces attaques touchent tous les aspects, du code on-chain à la gestion hors-chaine. L'IA agit comme une arme de destruction massive pour les hackers, permettant le scan ultrarapide de code, la génération automatique de scripts d'attaque et même l'ingénierie sociale. Face à cette menace exponentielle, les processus de défense humains (audits, gouvernance, votes multi-signatures) sont beaucoup trop lents. Le rapport risque/rendement fondamental du DeFi est rompu. Alors que les rendements annuel...

Article original | Odaily Planet Daily (@OdailyChina)

Auteur | Azuma (@azuma_eth)

« Je pense qu'aucun protocole DeFi n'est sûr. »

L'affirmation laissée hier sur X par Manuel Aráoz, fondateur d'OpenZeppelin, a fait l'effet d'une bombe, ébranlant à nouveau un marché DeFi déjà moribond.

Manuel a même indiqué avoir commencé à conseiller à ses proches de retirer leurs fonds des principaux protocoles DeFi, y compris des protocoles blue-chip autrefois considérés comme à faible risque comme Aave, MakerDAO et Compound.

Il ne s'agit pas des divagations alarmistes d'un profane. Bien au contraire, Manuel lui-même est l'un des artisans centraux du système de sécurité DeFi, et OpenZeppelin est l'une des sociétés d'audit de sécurité les plus importantes du secteur. Sa bibliothèque de contrats, ses normes de sécurité et son cadre d'audit imprègnent presque tout l'écosystème DeFi.

Ce qui a provoqué ce revirement radical d'opinion chez Manuel, c'est l'IA. Manuel estime de manière pessimiste que la capacité des agents de codage IA à identifier et exploiter les vulnérabilités des smart contracts augmente de façon exponentielle.

Cela signifie que les failles qui nécessitaient des semaines de travail à des équipes de white hats de haut niveau pour être découvertes peuvent maintenant être détectées par l'IA en quelques minutes ; que les chemins d'attaque, autrefois fruits d'une longue étude de la logique du protocole par les hackers, peuvent maintenant être analysés de manière automatisée par l'IA ; et que la « transparence » autrefois vantée du DeFi devient désormais le meilleur jeu de données d'entraînement pour les attaquants.

Manuel soulève un problème encore plus critique : la sécurité des smart contracts est fondamentalement un jeu profondément asymétrique — le côté défensif doit corriger toutes les vulnérabilités, tandis que l'attaquant n'a besoin d'en trouver qu'une seule pour dérober les fonds. Avec l'augmentation exponentielle de l'efficacité offensive permise par l'IA, cette asymétrie se déséquilibre rapidement.

La réalité glaçante : Le DeFi est devenu un distributeur automatique pour les hackers

En regardant les incidents de sécurité DeFi des derniers mois, on comprend que les inquiétudes de Manuel ne sont pas exagérées.

Avril a été l'un des pires mois de l'histoire du DeFi.

  • Le 1er avril, jour du poisson d'avril, Drift Protocol a été victime d'un détournement de privilèges d'administration et d'une vulnérabilité d'exécution multisig, perdant 280 millions de dollars (voir « Un poisson d'avril ? Drift Protocol volé pour plus de 280 millions de dollars, peut-être le deuxième plus grand piratage DeFi de l'écosystème Solana »).
  • Puis, le 19 avril, Kelp DAO a perdu 292 millions de dollars suite au piratage de son protocole de bridge (voir « Nouveau vol DeFi de 292 millions de dollars, même Aave n'est plus sûr ? »). Le pirate a ensuite emprunté des protocoles de prêt comme Aave pour s'enfuir, plongeant tout le secteur DeFi dans l'ombre des mauvaises dettes et de leurs répercussions.

En entrant en mai, les incidents ne se sont pas atténués, mais se sont au contraire encore répandus.

  • Le 15 mai, THORChain a été attaqué. Un nouvel opérateur de nœud a exploité une vulnérabilité du schéma de signature à seuil GG20 (TSS) pour reconstruire la clé privée du trésor et exécuter directement des transactions sortantes, causant une perte de plus de 10 millions de dollars.
  • Le 18 mai, le protocole de bridge de Verus a été attaqué. L'attaquant a forgé un payload d'importation cross-chain, contourné la validation et extrait des actifs des réserves Ethereum, dérobant environ 11,58 millions de dollars.
  • Le 19 mai, Echo Protocol sur Monad a été attaqué suite à une fuite de clé privée. L'attaquant a frappé 1000 eBTC (d'une valeur de 76,7 millions de dollars) et a extrait les fonds via Curvance en utilisant un chemin d'attaque préalablement testé.
  • Le 24 mai, StablR, un émetteur de stablecoin conforme au cadre réglementaire MiCA, a été attaqué. Le pirate a tiré profit de la création de EURR et USDR pour plus de 2,8 millions de dollars, provoquant le décrochage de EURR et USDR.
  • Le 25 mai, le module SquidRouter a été attaqué, entraînant le vol d'environ 3 millions de dollars d'actifs dans 86 portefeuilles Gnosis Safe.
  • Le 27 mai, la clé privée du déployeur de StakeDAO sur Arbitrum a fuité. L'attaquant a frappé environ 5,45 billions de vsdCRV, en a échangé une partie contre 43,7 ETH et s'est enfui.

La fréquence élevée de ces incidents de sécurité sonne l'alarme. Du code on-chain à la gestion off-chain, le DeFi semble perdre du terrain sur toute la ligne.

L'IA est devenue l'arme nucléaire des hackers

Pourquoi la guerre offensive/défensive du DeFi s'est-elle accélérée de manière aussi brutale cet été ? En plus de l'évolution des techniques traditionnelles de piratage, les progrès fulgurants des grands modèles de langage IA deviennent le facteur décisif qui rompt l'équilibre.

Autrefois, trouver une vulnérabilité complexe dans un smart contract (impliquant notamment le cross-chain, des imbrications multi-couches ou une logique de réentrance extrêmement subtile) nécessitait des semaines voire des mois d'analyse de code par les meilleurs hackers. Cependant, avec la maturité des agents IA dotés d'un contexte ultra-long, d'un raisonnement logique puissant et de capacités d'appel d'outils autonomes, tout cela a radicalement changé.

  • Balayage en quelques secondes et recherche de « vulnérabilités zero-day » à l'échelle mondiale : Les attaquants n'ont qu'à fournir les dépôts de code open-source aux nouveaux modèles de raisonnement IA. L'IA peut alors, en quelques secondes, simuler des centaines de scénarios d'interaction extrêmes comme le ferait un expert en sécurité chevronné, et identifier avec précision les conditions limites que les auditeurs humains fatigués auraient pu manquer.
  • Génération automatisée de scripts d'attaque : L'IA peut non seulement trouver des vulnérabilités, mais aussi automatiquement écrire, tester et déployer des « smart contracts de piratage » pour extraire les fonds.
  • Orchestration parfaite du DevOps off-chain et de l'ingénierie sociale : L'IA peut se faire passer pour un développeur parfait pour du phishing, ou surveiller 24h/24 les commits GitHub des équipes DeFi. Dès qu'une équipe pousse un code de correction non vérifié ou contenant des informations sensibles, l'IA lance l'attaque en quelques secondes — bien plus vite que le temps de réponse d'un agent de sécurité humain.

Dans cette guerre de sécurité dopée à l'IA, les hackers, grâce à l'IA, disposent de munitions quasi illimitées et d'une vitesse d'attaque à la seconde, tandis que le DeFi, limité par des processus de gouvernance lents, des confirmations multisig et des audits de sécurité tardifs, peine à fournir une réponse défensive adéquate.

Le mois dernier, Anthropic, la société de développement IA derrière Claude, a officiellement annoncé son nouveau modèle, Mythos (voir « Anthropic a créé le modèle IA le plus puissant de l'histoire, mais n'ose pas le publier... »). C'est le premier modèle de l'histoire de l'humanité à dépasser la barre des dix mille milliards de paramètres (contre quelques centaines de milliards à un millier de milliards pour les modèles actuels dominants), avec un coût d'entraînement astronomique de 100 milliards de dollars.

Cependant, en raison des capacités spécialisées de Mythos en cybersécurité (Anthropic a révélé qu'en quelques semaines, le modèle avait identifié des milliers de vulnérabilités zero-day), la société n'a même pas osé publier le modèle directement, de peur qu'il ne soit utilisé de manière malveillante par la communauté des hackers. Elle prévoit plutôt de le faire tester d'abord via un programme « Ailes de Verre » par les grandes entreprises pour qu'elles corrigent préventivement leurs vulnérabilités potentielles.

Si la situation sécuritaire du DeFi est déjà si préoccupante à ce stade, il est difficile d'imaginer quelles nouvelles menées surgiront après la publication publique de Mythos.

Le plus gros problème : Le ratio risque/récompense est déjà déséquilibré

Pour les participants ordinaires au DeFi, les fournisseurs de liquidités (LP) et les baleines, la question la plus importante aujourd'hui est de s'asseoir et de faire le calcul.

Depuis longtemps, les utilisateurs choisissent de déposer des fonds dans le DeFi pour bénéficier de rendements annualisés plusieurs fois supérieurs à ceux de la finance traditionnelle. En période de bull market ou de fièvre du yield farming, des rendements de 10%, 20% voire plus suffisaient à couvrir l'acceptation psychologique d'un « risque technique potentiel ».

Mais aujourd'hui, cette logique de base a été ébranlée, voire bouleversée. Le ratio risque/récompense du DeFi est désormais déséquilibré. Côté récompense, avec un marché entré dans une phase de jeu à somme nulle et une prime de risque qui augmente, la majorité des protocoles DeFi principaux et relativement fiables offrent désormais des rendements réels à un chiffre. Côté risque, le capital des utilisateurs est exposé à une boîte noire qui peut être percée à tout moment par l'IA ou vidée en un instant par un flash loan. Si un protocole est attaqué, la valeur du token tombe à zéro et les pools de liquidités sont siphonnés en quelques minutes, sans aucune possibilité de recours légal, d'assurance ou de garantie de banque centrale.

Prendre le risque de perdre 100% de son capital pour une récompense d'environ 5% de rendement annualisé n'est clairement pas un bon calcul.

Les propos de Manuel sont peut-être absolus, mais ils déchirent le dernier voile d'illusion du DeFi. Face à la réalité où les hackers utilisent l'IA comme une arme de routine et où les incidents de sécurité éclatent sans cesse, si vous n'êtes pas prêt à accepter psychologiquement la perte potentielle de 100% de votre capital pour un certain rendement, alors « retirer ses fonds au plus vite et sécuriser ses gains » est probablement le choix le plus rationnel et le plus conforme aux principes de gestion des risques dans le cycle de marché actuel.

Questions liées

QQuel est le principal avertissement lancé par Manuel Aráoz, fondateur d'OpenZeppelin, concernant le DeFi ?

AManuel Aráoz estime que tout le secteur de la finance décentralisée (DeFi) est devenu dangereux et recommande même à ses proches de retirer leurs fonds des protocoles DeFi, y compris des projets considérés comme sûrs comme Aave, MakerDAO et Compound.

QSelon l'article, quel est le principal facteur qui a radicalement changé la donne en matière de sécurité DeFi ?

ALe principal facteur est l'émergence et le développement rapide de l'intelligence artificielle (IA), en particulier des agents de codage IA. Ces derniers peuvent identifier et exploiter les vulnérabilités des contrats intelligents avec une efficacité exponentielle, rendant les attaques beaucoup plus rapides et accessibles qu'auparavant.

QPourquoi le jeu de la sécurité des contrats intelligents est-il qualifié d'« asymétrique » dans l'article ?

ALa sécurité des contrats intelligents est asymétrique car les défenseurs (les équipes de développement et d'audit) doivent trouver et corriger toutes les vulnérabilités potentielles, tandis qu'un attaquant n'a besoin d'en trouver et d'en exploiter qu'une seule pour voler les fonds. L'IA exacerbe ce déséquilibre en renforçant massivement l'efficacité des attaquants.

QQuel exemple d'incident majeur de sécurité DeFi est cité pour le mois d'avril 2026 ?

AL'article cite deux incidents majeurs en avril 2026 : le piratage du Drift Protocol le 1er avril, avec une perte de 2,8 milliards de dollars, et l'attaque du protocole de pont de Kelp DAO le 19 avril, entraînant une perte de 2,92 milliards de dollars.

QQuel est le principal argument de l'article concernant le ratio risque/rendement pour les utilisateurs du DeFi actuellement ?

AL'article soutient que le ratio risque/rendement pour les utilisateurs du DeFi est totalement déséquilibré. Les rendements annuels sur les protocoles les plus sûrs sont souvent tombés à un chiffre (environ 5%), tandis que le risque de perdre 100% du capital en cas d'attaque reste très élevé et imprévisible, ce qui rend l'investissement peu attractif.

Lectures associées

The Altcoin Vector #56

Résumé Exécutif Le contenu principal de l'article est exclusivement réservé aux abonnés. La section visible pour les non-abonnés ne contient qu'un bref résumé exécutif et une invitation à se connecter pour les utilisateurs disposant déjà d'un abonnement. Par conséquent, aucun détail substantiel concernant le sujet « The Altcoin Vector #56 » n'est disponible dans le texte fourni. Pour accéder à l'analyse complète et aux insights potentiels sur les altcoins, une connexion avec un compte abonné est nécessaire.

insights.glassnodeIl y a 10 mins

The Altcoin Vector #56

insights.glassnodeIl y a 10 mins

Comment les traders à court terme utilisent Ozak AI pour multiplier leur capital plus rapidement que les stratégies traditionnelles de conservation

Alors que le marché des cryptomonnaies évolue, les traders à court terme se tournent de plus en plus vers des opportunités au-delà du simple achat et conservation de Bitcoin ou d'Ethereum. Un projet qui gagne en popularité est Ozak AI ($OZ), une plateforme alimentée par l'IA actuellement en phase 7 de prévente à 0,014 $. Les traders utilisent Ozak AI pour capitaliser sur la croissance en phase initiale et le potentiel de rendements exponentiels. L'avantage de la prévente est significatif : le prix a déjà augmenté de plus de 1 300 % depuis son lancement à 0,001 $, avec 1,2 milliard de tokens vendus et près de 7 millions de dollars levés. Les traders voient dans cette phase précoce une chance de capturer pleinement la hausse potentielle avant le listing anticipé sur les exchanges à 1 $. Ozak AI séduit les traders actifs grâce à plusieurs fonctionnalités : un moteur d'analyse prédictive en temps réel, le réseau OSN pour les données de marché, des agents de prédiction personnalisables, une infrastructure DePIN sécurisée et une utilité du token $OZ pour le staking, la gouvernance et la monétisation. Le potentiel de ROI est présenté comme bien supérieur à une stratégie classique de "HODL". Par exemple, un investissement de 100 $ à 0,014 $ pourrait atteindre 7 143 $ si le token atteint 1 $. Les traders appliquent des stratégies comme le swing trading basé sur les signaux IA, le scalping sur la volatilité intrajournalière et l'arbitrage de prévente en revendant au listing. En conclusion, Ozak AI illustre comment les projets cryptos pilotés par l'IA redéfinissent les stratégies de trading. L'accès anticipé, les analytics prédictives et le fort potentiel de rendement attirent les traders à court terme, offrant des opportunités dépassant la croissance plus lente des cryptomonnaies établies.

TheNewsCryptoIl y a 19 mins

Comment les traders à court terme utilisent Ozak AI pour multiplier leur capital plus rapidement que les stratégies traditionnelles de conservation

TheNewsCryptoIl y a 19 mins

Les Données On-Chain Montrent que les Grands Portefeuilles Accumulent Ozak AI Tandis que les Particuliers Restent Axés sur les Valeurs Phares

Les données on-chain révèlent une divergence notable dans les stratégies d'investissement en 2025. Alors que les investisseurs particuliers restent concentrés sur les actifs traditionnels comme le Bitcoin et l'Ethereum, les portefeuilles institutionnels et les « baleines » accumulent activement le token $OZ lors de la prévente en cours du projet Ozak AI. Les analyses montrent une augmentation significative des transactions provenant de grandes adresses connues, historiquement précoces sur des altcoins prometteurs. La prévente d'Ozak AI, ayant déjà levé plus de 7 millions de dollars avec plus d'un milliard de tokens vendus, fonctionne sur un mécanisme de prix par paliers, actuellement à 0,012$ par $OZ. Les grands portefeuilles semblent profiter de cette structure pour accumuler à bas prix. Cette accumulation soutenue et planifiée contraste avec l'intérêt retail pour les blue chips et est souvent interprétée comme un signal « smart money » précédant une potentielle réévaluation à la cotation publique. Cette dynamique pourrait annoncer un regain d'intérêt pour les projets blockchain centrés sur l'IA avant une adoption plus large par le grand public.

TheNewsCryptoIl y a 1 h

Les Données On-Chain Montrent que les Grands Portefeuilles Accumulent Ozak AI Tandis que les Particuliers Restent Axés sur les Valeurs Phares

TheNewsCryptoIl y a 1 h

Or, monnaies fiduciaires, Bitcoin : qui dominera la finance mondiale dans 10 ans ?

En 2026, le monde évolue vers une multipolarité croissante, une tendance qui devrait se poursuivre jusqu'en 2036. L'ère unipolaire dominée par le dollar américain, caractéristique des décennies récentes, apparaît comme une anomalie historique. Auparavant, la multipolarité était la norme, reflétée dans la diversité monétaire avec l'or et l'argent comme supports de valeur. À l'ère des télécommunications, le dollar est devenu la monnaie de réserve mondiale, mais les déséquilibres comme le dilemme de Triffin ont érodé la confiance. Aujourd'hui, ni les États-Unis ni d'autres puissances ne souhaitent ou ne peuvent supporter pleinement le fardeau d'être le grand livre mondial unique. Ainsi, une multipolarité monétaire émerge. Trois options se présentent : 1. **L'or** : Une réserve de valeur éprouvée, suffisamment liquide, qui ne peut être dévaluée unilatéralement, gelée ou piratée. 2. **La diversification des monnaies fiduciaires** : Répartir les réserves entre plusieurs grandes devises pour diluer les risques, bien que les effets de réseau favorisent naturellement une monnaie dominante. 3. **Le Bitcoin** : Offrant un registre à la fois rapide et décentralisé, il représente une alternative numérique. Ses défis sont sa sécurité à long terme, son adoption encore limitée et sa volatilité durant sa phase de croissance. Son succès dépendra de sa capacité à préserver ses propriétés fondamentales (souveraineté financière, transactions sans autorisation) et à éroder les effets de réseau des monnaies existantes. D'ici 2036, l'or et les principales monnaies fiduciaires devraient rester largement utilisés. Le Bitcoin, s'il réussit, pourrait voir sa capitalisation rivaliser avec les plus grandes monnaies. Son principal défi n'est pas technique ou gouvernemental, mais humain : son adoption massive nécessitera que des centaines de millions de personnes valorisent activement la souveraineté financière et choisissent d'utiliser les outils qui la préservent. La question centrale est de savoir si l'humanité saisira cette opportunité ou y renoncera.

marsbitIl y a 2 h

Or, monnaies fiduciaires, Bitcoin : qui dominera la finance mondiale dans 10 ans ?

marsbitIl y a 2 h

OpenAI mange-t-il la couche application ? a16z affirme que les véritables opportunités se trouvent au-delà des modèles généraux

Alors que les capacités des grands modèles de langage s'améliorent, une inquiétude émerge dans la couche applicative de l'IA : les sociétés de modèles comme OpenAI ou Anthropic, avec leurs avantages en matière de modèle, de distribution et de marque, risquent-elles d'absorber tout l'espace des applications ? L'associé d'a16z, Joe Schmidt, répond à cette question en utilisant la métaphore de la « Route de briques jaunes » du *Magicien d'Oz*. Il distingue deux catégories d'opportunités. La première, la « Route de briques jaunes », est celle que les laboratoires de grands modèles investissent directement : la génération de code, d'écrits, d'images, les assistants génériques. La seconde, « le reste du pays d'Oz », représente les scénarios verticaux complexes, intégrés aux processus métiers, dépendant de flux de travail spécifiques, de données, de conformité et d'intégrations système. Pour Schmidt, la vraie opportunité pour les startups réside dans ce second domaine. Les entreprises paient pour des systèmes responsables de résultats concrets, capables de gérer des données désordonnées, des validations multiples, des cas limites, la conformité, et l'optimisation des coûts face à l'évolution des modèles. L'article souligne que si les modèles sous-jacents deviendront plus puissants et interchangeables, la valeur durable proviendra des données, processus, connaissances métier et « mémoire opérationnelle » accumulés autour de flux de travail spécifiques. Les startups doivent éviter la route concurrentielle des modèles et se concentrer sur les domaines « plus sales, plus lents, mais plus proches de la valeur commerciale réelle ». L'analyse est illustrée par des exemples concrets dans les ventes (avec la startup 11x) et l'assurance (avec FurtherAI), montrant comment la création de systèmes verticaux, l'optimisation des coûts, la gestion de la gouvernance et l'apprentissage continu à partir des données métier constituent des avantages compétitifs durables face aux laboratoires généralistes. En somme, la prochaine génération de logiciels d'entreprise se construira « ailleurs dans le pays d'Oz », en se positionnant comme la couche indispensable qui intègre et opérationnalise les modèles d'IA au cœur des processus métiers complexes.

marsbitIl y a 2 h

OpenAI mange-t-il la couche application ? a16z affirme que les véritables opportunités se trouvent au-delà des modèles généraux

marsbitIl y a 2 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow