Alerte d'un gourou de l'audit : Tous les protocoles DeFi sont dangereux, sortez vos fonds !

Odaily星球日报Publié le 2026-05-28Dernière mise à jour le 2026-05-28

Résumé

OpenZeppelin 的创始人 Manuel Aráoz, l'une des figures centrales de la sécurité DeFi, a émis une mise en garde sévère : selon lui, **tous les protocoles DeFi sont désormais dangereux**. Il conseille même à ses proches de retirer leurs fonds des protocoles majeurs comme Aave ou MakerDAO. La raison principale de ce revirement est l'**avènement de l'IA**. Les agents d'IA codant deviennent exponentiellement plus performants pour identifier et exploiter les vulnérabilités des smart contracts. Ce qui prenait des semaines à des experts peut maintenant être découvert en quelques minutes. Le jeu asymétrique de la sécurité – où les défenseurs doivent tout corriger et les attaquants n'ont besoin que d'une seule faille – penche désormais massivement en faveur des hackers. La réalité récente est glaçante : les piratages se multiplient. Rien qu'en avril et mai, des protocoles comme Drift Protocol, Kelp DAO, THORChain et d'autres ont subi des vols massifs, totalisant des centaines de millions de dollars. Ces attaques touchent tous les aspects, du code on-chain à la gestion hors-chaine. L'IA agit comme une arme de destruction massive pour les hackers, permettant le scan ultrarapide de code, la génération automatique de scripts d'attaque et même l'ingénierie sociale. Face à cette menace exponentielle, les processus de défense humains (audits, gouvernance, votes multi-signatures) sont beaucoup trop lents. Le rapport risque/rendement fondamental du DeFi est rompu. Alors que les rendements annuel...

Article original | Odaily Planet Daily (@OdailyChina)

Auteur | Azuma (@azuma_eth)

« Je pense qu'aucun protocole DeFi n'est sûr. »

L'affirmation laissée hier sur X par Manuel Aráoz, fondateur d'OpenZeppelin, a fait l'effet d'une bombe, ébranlant à nouveau un marché DeFi déjà moribond.

Manuel a même indiqué avoir commencé à conseiller à ses proches de retirer leurs fonds des principaux protocoles DeFi, y compris des protocoles blue-chip autrefois considérés comme à faible risque comme Aave, MakerDAO et Compound.

Il ne s'agit pas des divagations alarmistes d'un profane. Bien au contraire, Manuel lui-même est l'un des artisans centraux du système de sécurité DeFi, et OpenZeppelin est l'une des sociétés d'audit de sécurité les plus importantes du secteur. Sa bibliothèque de contrats, ses normes de sécurité et son cadre d'audit imprègnent presque tout l'écosystème DeFi.

Ce qui a provoqué ce revirement radical d'opinion chez Manuel, c'est l'IA. Manuel estime de manière pessimiste que la capacité des agents de codage IA à identifier et exploiter les vulnérabilités des smart contracts augmente de façon exponentielle.

Cela signifie que les failles qui nécessitaient des semaines de travail à des équipes de white hats de haut niveau pour être découvertes peuvent maintenant être détectées par l'IA en quelques minutes ; que les chemins d'attaque, autrefois fruits d'une longue étude de la logique du protocole par les hackers, peuvent maintenant être analysés de manière automatisée par l'IA ; et que la « transparence » autrefois vantée du DeFi devient désormais le meilleur jeu de données d'entraînement pour les attaquants.

Manuel soulève un problème encore plus critique : la sécurité des smart contracts est fondamentalement un jeu profondément asymétrique — le côté défensif doit corriger toutes les vulnérabilités, tandis que l'attaquant n'a besoin d'en trouver qu'une seule pour dérober les fonds. Avec l'augmentation exponentielle de l'efficacité offensive permise par l'IA, cette asymétrie se déséquilibre rapidement.

La réalité glaçante : Le DeFi est devenu un distributeur automatique pour les hackers

En regardant les incidents de sécurité DeFi des derniers mois, on comprend que les inquiétudes de Manuel ne sont pas exagérées.

Avril a été l'un des pires mois de l'histoire du DeFi.

Le 1er avril, jour du poisson d'avril, Drift Protocol a été victime d'un détournement de privilèges d'administration et d'une vulnérabilité d'exécution multisig, perdant 280 millions de dollars (voir « Un poisson d'avril ? Drift Protocol volé pour plus de 280 millions de dollars, peut-être le deuxième plus grand piratage DeFi de l'écosystème Solana »).
Puis, le 19 avril, Kelp DAO a perdu 292 millions de dollars suite au piratage de son protocole de bridge (voir « Nouveau vol DeFi de 292 millions de dollars, même Aave n'est plus sûr ? »). Le pirate a ensuite emprunté des protocoles de prêt comme Aave pour s'enfuir, plongeant tout le secteur DeFi dans l'ombre des mauvaises dettes et de leurs répercussions.

En entrant en mai, les incidents ne se sont pas atténués, mais se sont au contraire encore répandus.

Le 15 mai, THORChain a été attaqué. Un nouvel opérateur de nœud a exploité une vulnérabilité du schéma de signature à seuil GG20 (TSS) pour reconstruire la clé privée du trésor et exécuter directement des transactions sortantes, causant une perte de plus de 10 millions de dollars.
Le 18 mai, le protocole de bridge de Verus a été attaqué. L'attaquant a forgé un payload d'importation cross-chain, contourné la validation et extrait des actifs des réserves Ethereum, dérobant environ 11,58 millions de dollars.
Le 19 mai, Echo Protocol sur Monad a été attaqué suite à une fuite de clé privée. L'attaquant a frappé 1000 eBTC (d'une valeur de 76,7 millions de dollars) et a extrait les fonds via Curvance en utilisant un chemin d'attaque préalablement testé.
Le 24 mai, StablR, un émetteur de stablecoin conforme au cadre réglementaire MiCA, a été attaqué. Le pirate a tiré profit de la création de EURR et USDR pour plus de 2,8 millions de dollars, provoquant le décrochage de EURR et USDR.
Le 25 mai, le module SquidRouter a été attaqué, entraînant le vol d'environ 3 millions de dollars d'actifs dans 86 portefeuilles Gnosis Safe.
Le 27 mai, la clé privée du déployeur de StakeDAO sur Arbitrum a fuité. L'attaquant a frappé environ 5,45 billions de vsdCRV, en a échangé une partie contre 43,7 ETH et s'est enfui.

La fréquence élevée de ces incidents de sécurité sonne l'alarme. Du code on-chain à la gestion off-chain, le DeFi semble perdre du terrain sur toute la ligne.

L'IA est devenue l'arme nucléaire des hackers

Pourquoi la guerre offensive/défensive du DeFi s'est-elle accélérée de manière aussi brutale cet été ? En plus de l'évolution des techniques traditionnelles de piratage, les progrès fulgurants des grands modèles de langage IA deviennent le facteur décisif qui rompt l'équilibre.

Autrefois, trouver une vulnérabilité complexe dans un smart contract (impliquant notamment le cross-chain, des imbrications multi-couches ou une logique de réentrance extrêmement subtile) nécessitait des semaines voire des mois d'analyse de code par les meilleurs hackers. Cependant, avec la maturité des agents IA dotés d'un contexte ultra-long, d'un raisonnement logique puissant et de capacités d'appel d'outils autonomes, tout cela a radicalement changé.

Balayage en quelques secondes et recherche de « vulnérabilités zero-day » à l'échelle mondiale : Les attaquants n'ont qu'à fournir les dépôts de code open-source aux nouveaux modèles de raisonnement IA. L'IA peut alors, en quelques secondes, simuler des centaines de scénarios d'interaction extrêmes comme le ferait un expert en sécurité chevronné, et identifier avec précision les conditions limites que les auditeurs humains fatigués auraient pu manquer.
Génération automatisée de scripts d'attaque : L'IA peut non seulement trouver des vulnérabilités, mais aussi automatiquement écrire, tester et déployer des « smart contracts de piratage » pour extraire les fonds.
Orchestration parfaite du DevOps off-chain et de l'ingénierie sociale : L'IA peut se faire passer pour un développeur parfait pour du phishing, ou surveiller 24h/24 les commits GitHub des équipes DeFi. Dès qu'une équipe pousse un code de correction non vérifié ou contenant des informations sensibles, l'IA lance l'attaque en quelques secondes — bien plus vite que le temps de réponse d'un agent de sécurité humain.

Dans cette guerre de sécurité dopée à l'IA, les hackers, grâce à l'IA, disposent de munitions quasi illimitées et d'une vitesse d'attaque à la seconde, tandis que le DeFi, limité par des processus de gouvernance lents, des confirmations multisig et des audits de sécurité tardifs, peine à fournir une réponse défensive adéquate.

Le mois dernier, Anthropic, la société de développement IA derrière Claude, a officiellement annoncé son nouveau modèle, Mythos (voir « Anthropic a créé le modèle IA le plus puissant de l'histoire, mais n'ose pas le publier... »). C'est le premier modèle de l'histoire de l'humanité à dépasser la barre des dix mille milliards de paramètres (contre quelques centaines de milliards à un millier de milliards pour les modèles actuels dominants), avec un coût d'entraînement astronomique de 100 milliards de dollars.

Cependant, en raison des capacités spécialisées de Mythos en cybersécurité (Anthropic a révélé qu'en quelques semaines, le modèle avait identifié des milliers de vulnérabilités zero-day), la société n'a même pas osé publier le modèle directement, de peur qu'il ne soit utilisé de manière malveillante par la communauté des hackers. Elle prévoit plutôt de le faire tester d'abord via un programme « Ailes de Verre » par les grandes entreprises pour qu'elles corrigent préventivement leurs vulnérabilités potentielles.

Si la situation sécuritaire du DeFi est déjà si préoccupante à ce stade, il est difficile d'imaginer quelles nouvelles menées surgiront après la publication publique de Mythos.

Le plus gros problème : Le ratio risque/récompense est déjà déséquilibré

Pour les participants ordinaires au DeFi, les fournisseurs de liquidités (LP) et les baleines, la question la plus importante aujourd'hui est de s'asseoir et de faire le calcul.

Depuis longtemps, les utilisateurs choisissent de déposer des fonds dans le DeFi pour bénéficier de rendements annualisés plusieurs fois supérieurs à ceux de la finance traditionnelle. En période de bull market ou de fièvre du yield farming, des rendements de 10%, 20% voire plus suffisaient à couvrir l'acceptation psychologique d'un « risque technique potentiel ».

Mais aujourd'hui, cette logique de base a été ébranlée, voire bouleversée. Le ratio risque/récompense du DeFi est désormais déséquilibré. Côté récompense, avec un marché entré dans une phase de jeu à somme nulle et une prime de risque qui augmente, la majorité des protocoles DeFi principaux et relativement fiables offrent désormais des rendements réels à un chiffre. Côté risque, le capital des utilisateurs est exposé à une boîte noire qui peut être percée à tout moment par l'IA ou vidée en un instant par un flash loan. Si un protocole est attaqué, la valeur du token tombe à zéro et les pools de liquidités sont siphonnés en quelques minutes, sans aucune possibilité de recours légal, d'assurance ou de garantie de banque centrale.

Prendre le risque de perdre 100% de son capital pour une récompense d'environ 5% de rendement annualisé n'est clairement pas un bon calcul.

Les propos de Manuel sont peut-être absolus, mais ils déchirent le dernier voile d'illusion du DeFi. Face à la réalité où les hackers utilisent l'IA comme une arme de routine et où les incidents de sécurité éclatent sans cesse, si vous n'êtes pas prêt à accepter psychologiquement la perte potentielle de 100% de votre capital pour un certain rendement, alors « retirer ses fonds au plus vite et sécuriser ses gains » est probablement le choix le plus rationnel et le plus conforme aux principes de gestion des risques dans le cycle de marché actuel.

Questions liées

QQuel est le principal avertissement lancé par Manuel Aráoz, fondateur d'OpenZeppelin, concernant le DeFi ?

AManuel Aráoz estime que tout le secteur de la finance décentralisée (DeFi) est devenu dangereux et recommande même à ses proches de retirer leurs fonds des protocoles DeFi, y compris des projets considérés comme sûrs comme Aave, MakerDAO et Compound.

QSelon l'article, quel est le principal facteur qui a radicalement changé la donne en matière de sécurité DeFi ?

ALe principal facteur est l'émergence et le développement rapide de l'intelligence artificielle (IA), en particulier des agents de codage IA. Ces derniers peuvent identifier et exploiter les vulnérabilités des contrats intelligents avec une efficacité exponentielle, rendant les attaques beaucoup plus rapides et accessibles qu'auparavant.

QPourquoi le jeu de la sécurité des contrats intelligents est-il qualifié d'« asymétrique » dans l'article ?

ALa sécurité des contrats intelligents est asymétrique car les défenseurs (les équipes de développement et d'audit) doivent trouver et corriger toutes les vulnérabilités potentielles, tandis qu'un attaquant n'a besoin d'en trouver et d'en exploiter qu'une seule pour voler les fonds. L'IA exacerbe ce déséquilibre en renforçant massivement l'efficacité des attaquants.

QQuel exemple d'incident majeur de sécurité DeFi est cité pour le mois d'avril 2026 ?

AL'article cite deux incidents majeurs en avril 2026 : le piratage du Drift Protocol le 1er avril, avec une perte de 2,8 milliards de dollars, et l'attaque du protocole de pont de Kelp DAO le 19 avril, entraînant une perte de 2,92 milliards de dollars.

QQuel est le principal argument de l'article concernant le ratio risque/rendement pour les utilisateurs du DeFi actuellement ?

AL'article soutient que le ratio risque/rendement pour les utilisateurs du DeFi est totalement déséquilibré. Les rendements annuels sur les protocoles les plus sûrs sont souvent tombés à un chiffre (environ 5%), tandis que le risque de perdre 100% du capital en cas d'attaque reste très élevé et imprévisible, ce qui rend l'investissement peu attractif.

Lectures associées

La crise de la quarantaine des GP dans la Crypto : Sans PMF, pas de nouveau chèque des LP

**La crise de la quarantaine des GP crypto : sans PMF, pas de prochain chèque des LP** Dans le marché crypto actuel, les investisseurs (LP) ne veulent plus acheter des rêves, mais des produits concrets. Les gestionnaires de fonds (GP) doivent désormais proposer des offres claires correspondant aux besoins du marché (PMF) pour survivre. Cet article classe les produits de levée de fonds crypto en trois catégories : Primary (investissements directs), Liquid (marché liquide), et CeFi/DeFi Native Yield (rendements natifs). Le marché primaire (Primary) est particulièrement touché. Les investisseurs ont perdu confiance dans les "visions futuristes" et les fonds "blind pool" (sans pipeline d'investissements clair). Les raisons historiques d'investir dans des VC crypto — accéder au beta du secteur, obtenir du deal flow, profiter du jugement des GP — se sont largement érodées face à l'émergence d'alternatives plus liquides (ETF, ETP) et à la déception des rendements du cycle précédent. Désormais, seuls quelques acteurs peuvent rester à la table du primaire : les fonds suffisamment grands pour les capitaux patients (endowments), les family offices investissant leur propre argent, les rares GP ayant démontré des rendements exceptionnels récents, et ceux possédant une réelle capacité à "monter des deals" et à offrir des ressources stratégiques aux LP. Pour les autres, la voie à suivre est de reconstruire la confiance en se spécialisant sur un créneau (niche) et en prouvant à nouveau leur capacité à générer de la surperformance ou à fournir une valeur tangible spécifique. La période où l'on vendait un avenir lointain est révolue.

链捕手Il y a 42 mins

La crise de la quarantaine des GP dans la Crypto : Sans PMF, pas de nouveau chèque des LP

链捕手Il y a 42 mins

L'ère du découplage approche, Bitcoin n'est plus la seule boussole de la cryptomonnaie

La ère du découplage arrive : le Bitcoin n’est plus la seule boussole du marché cryptographique. L’économie cryptographique se divise désormais en deux catégories : les actifs endogènes, dont la valeur dépend entièrement du marché des cryptomonnaies, et les actifs exogènes, qui évoluent de manière indépendante. Le Bitcoin, archétype de l’actif endogène, voit sa perception changer avec les cycles de marché. À l’inverse, des projets comme Hyperliquid se situent à mi-chemin, tandis que Venice (IA grand public) ou Figure (fintech) appartiennent clairement au camp exogène. Leur modèle d’affaires, fondé sur une demande réelle et des revenus récurrents (abonnements, services payants), est déconnecté des fluctuations du prix des cryptomonnaies. Cette évolution est fondamentale. Auparavant, les investissements reposaient sur le récit spéculatif et la performance du Bitcoin. Désormais, des secteurs exogènes émergent avec des fondamentaux solides : services d’échange et de courtage sur chaîne, tokenisation d’actifs réels, banques numériques, prêts, stablecoins, paiements ou économie des agents intelligents. Analyser ces projets nécessite une approche comparable à celle de la fintech traditionnelle, en examinant la base d’utilisateurs payants et le modèle économique. La corrélation entre les actifs cryptographiques et le Bitcoin commence à se distendre pour les actifs exogènes, à l’image de la relation entre l’or et l’indice S&P 500. La dynamique du marché passe d’un moteur unique à des facteurs multiples. L’investissement et la recherche se concentrent de plus en plus sur les fondamentaux des entreprises plutôt que sur la simple lecture des graphiques du Bitcoin. La prochaine décennie verra un secteur plus mature et différencié, où les mouvements du marché ne seront plus uniformes.

marsbitIl y a 1 h

L'ère du découplage approche, Bitcoin n'est plus la seule boussole de la cryptomonnaie

marsbitIl y a 1 h

Cinq cryptomonnaies susceptibles de surperformer Bitcoin au cours du prochain cycle grâce à une vitesse de croissance plus élevée

Bitcoin reste le moteur principal du marché, mais les analystes s'accordent à dire que les plus fortes progressions en pourcentage du prochain cycle proviendront probablement d'actifs à plus grande vélocité de croissance. Cinq cryptomonnaies sont identifiées comme susceptibles de surperformer Bitcoin en termes de rendement relatif. **Ethereum (ETH)** est cité pour son rôle central dans les contrats intelligents et son adoption institutionnelle. **Solana (SOL)** est mis en avant pour son débit élevé et ses frais bas. **Chainlink (LINK)** est considéré comme un levier d'infrastructure essentiel pour l'économie crypto. **Avalanche (AVAX)** est noté pour son architecture adaptée aux actifs tokenisés. Cependant, l'article souligne que **Ozak AI ($OZ)**, un projet d'infrastructure IA encore en phase de prévente (prix: 0,014$), pourrait enregistrer la croissance la plus rapide. En raison de son faible capitalisation et de son écosystème technique incluant des agents de prédiction et un réseau de données en temps réel, son potentiel de réévaluation est jugé exponentiellement plus élevé que celui des actifs matures comme Bitcoin. L'article conclut que si Bitcoin offre la stabilité, Ozak AI pourrait offrir l'asymétrie de croissance la plus forte. Un avertissement précise que le contenu ne constitue pas un conseil en investissement.

TheNewsCryptoIl y a 2 h

Cinq cryptomonnaies susceptibles de surperformer Bitcoin au cours du prochain cycle grâce à une vitesse de croissance plus élevée

TheNewsCryptoIl y a 2 h

L'action de Strategy chute de plus de 5% en pré-bourse, la société a vendu 32 bitcoins entre le 26 et le 31 mai pour un montant de 2,5 millions de dollars

Le titre de l'article indique que l'action Strategy a chuté de plus de 5% en pré-ouverture du marché américain. La société a vendu 32 bitcoins entre le 26 et le 31 mai, pour un montant total de 2,5 millions de dollars.

华尔街日报Il y a 2 h

L'action de Strategy chute de plus de 5% en pré-bourse, la société a vendu 32 bitcoins entre le 26 et le 31 mai pour un montant de 2,5 millions de dollars

华尔街日报Il y a 2 h

Que raconte le nouvel acte de la "usine à Agents" de Jensen Huang ?

Lors du COMPUTEX 2026, Jensen Huang, fondateur et PDG de NVIDIA, a présenté une nouvelle vision stratégique centrée sur l'ère des agents d'IA. Contrairement aux annonces précédentes axées sur les puces et les systèmes de calcul, cette présentation a mis l'accent sur l'infrastructure complète nécessaire pour exécuter et gérer des agents IA à grande échelle. Le point central est la plateforme Vera Rubin, désormais en production, conçue spécifiquement pour les charges de travail des agents. Elle promet une efficacité de traitement dix fois supérieure à celle de la génération précédente pour les tâches d'agents autonomes. Le processeur Vera, successeur de Grace, est présenté comme le premier CPU conçu pour l'IA et les agents. NVIDIA a également introduit DSX, une suite d'outils pour la conception, la simulation et l'exploitation d'"usines d'IA", ainsi qu'une station de travail DGX Station for Windows pour déployer des agents localement dans un environnement sécurisé. Du côté des logiciels, NVIDIA a annoncé le modèle Nemotron 3 Ultra (550 milliards de paramètres) pour les agents d'entreprise et Cosmos 3, un modèle de fondation pour la compréhension du monde physique. Le partenariat avec Unitree a donné naissance à H2 Plus, un robot humanoïde de référence basé sur la plateforme Isaac GR00T, visant à accélérer le développement de l'IA physique. Les annonces couvrent également la sécurité des données avec BlueField-4 STX, une collaboration mutuelle avec TSMC, et le SoC RTX Spark pour les PC AI. En résumé, NVIDIA construit un écosystème complet, des puces et du matériel aux modèles et outils de déploiement, pour positionner chaque couche de la pile technologique des agents IA comme un marché adressable par l'entreprise.

marsbitIl y a 2 h

Que raconte le nouvel acte de la "usine à Agents" de Jensen Huang ?