Rédaction : nour
Compilation : Chopper, Foresight News
Lors du DeFi Summer de 2020, Andre Cronje lançait presque chaque semaine de nouveaux protocoles, avec Yearn, Solidly et de nombreux autres projets expérimentaux qui voyaient le jour. Malheureusement, beaucoup de ces projets ont subi des vulnérabilités de contrat et des attaques économiques, causant des pertes aux utilisateurs. Mais ceux qui ont survécu sont devenus certains des protocoles les plus importants d'aujourd'hui.
Le problème est que cette époque a laissé un traumatisme psychologique à toute l'industrie. La tendance du secteur a radicalement changé, avec d'énormes ressources investies dans la sécurité. Audits multiples, concours d'audit, des mois de révision pour chaque version, le tout pour valider une nouvelle idée sans aucune adéquation marché. Je pense que la plupart des gens ne réalisent pas à quel point cela a étouffé l'esprit expérimental. Personne ne va dépenser 500 000 dollars et attendre 6 mois pour un audit sur une idée non vérifiée. Alors tout le monde se contente de copier des designs déjà validés, en appelant cela de l'innovation. L'innovation dans le DeFi n'est pas morte, mais les incitations l'étouffent.
Et tout cela est en train de changer, car l'IA réduit les coûts de sécurité à une vitesse impressionnante.
Les audits par IA étaient autrefois ridicules, ne pouvant essentiellement signaler que des problèmes superficiels comme les réentrances ou les pertes de précision, que tout auditeur compétent aurait repérés. Mais la nouvelle génération d'outils est totalement différente. Des outils comme Nemesis peuvent déjà détecter des vulnérabilités complexes de flux d'exécution et des attaques économiques, avec une compréhension contextuelle étonnamment profonde du protocole et de son environnement d'exécution. Un point particulièrement remarquable de Nemesis est sa façon de gérer les faux positifs : il fait vérifier par plusieurs agents intelligents avec différentes méthodes, puis un autre agent indépendant évalue les résultats, filtrant les faux positifs basés sur une compréhension contextuelle de la logique et des objectifs du protocole. Il comprend vraiment les nuances, comme dans quels scénarios une réentrance est acceptable, et quand elle est réellement dangereuse. Même des auditeurs humains expérimentés se trompent souvent sur ce point.
Nemesis est aussi extrêmement simple, ne nécessitant que trois fichiers Markdown, à ajouter comme compétence à Claude Code. D'autres outils vont encore plus loin, certains intégrant l'exécution symbolique et l'analyse statique, d'autres pouvant même écrire automatiquement des spécifications de vérification formelle et vérifier le code. La vérification formelle devient accessible à tous.
Mais ce ne sont que les outils de première génération. Les modèles eux-mêmes continuent d'évoluer. Le Mythos d'Anthropic, dont la sortie est imminente, devrait être bien plus puissant que l'Opus 4.6. Sans aucune modification, il suffira d'exécuter Nemesis sur Mythos pour obtenir immédiatement de meilleurs résultats.
Combiné au Battlechain de Cyfrin, le flux de travail de sécurité est totalement restructuré : écrire le code → audit par outil d'IA → déploiement sur Battlechain → tests d'attaque et de défense en conditions réelles → redéploiement sur le mainnet.
La beauté de Battlechain est qu'il élimine l'« attente de sécurité » implicite des mainnets comme Ethereum. Tous les utilisateurs qui y accèdent en cross-chain sont conscients des risques qu'ils prennent. Il fournit aussi un point focal naturel pour les auditeurs IA, qui n'ont plus à chercher une aiguille dans une botte de foin sur le mainnet. Son cadre de safe harbor stipule que 10 % des fonds volés peuvent constituer une prime légitime, créant ainsi une incitation économique pour le développement d'outils d'attaque plus puissants. Essentiellement, c'est une compétition similaire au MEV, mais dans le domaine de la sécurité. Les agents IA exploreront chaque nouveau déploiement à la vitesse de l'éclair, se précipitant pour trouver les vulnérabilités.
Le futur processus de développement des protocoles DeFi sera :
- Écrire le protocole
- Audit par IA en quelques minutes
- Déploiement sur Battlechain avec peu de fonds
- Ciblage automatique par des agents IA en compétition
- Attaque en quelques minutes
- Récupération de 90 % des fonds
- Correction de la vulnérabilité
- Redéploiement
Le cycle complet, de l'écriture du code au déploiement sur le mainnet après test en conditions réelles, passera de plusieurs mois à potentiellement quelques heures, avec un coût négligeable comparé aux audits traditionnels.
La dernière ligne de défense en matière de sécurité sera l'audit par IA au niveau du portefeuille. Les portefeuilles utilisateurs pourront intégrer les mêmes outils d'audit IA au moment de la signature des transactions. Avant de signer chaque transaction, l'IA auditera le code du contrat cible, lira les variables d'état pour relier tous les contrats concernés, retracera la topologie du protocole, comprendra le contexte, auditera à la fois le contrat et les entrées de transaction de l'utilisateur, et donnera une recommandation dans la pop-up de confirmation. Chaque utilisateur finira par exécuter son propre agent d'audit professionnel pour se protéger des Rug Pull, de la négligence des équipes ou des frontends malveillants.
Les agents intelligents protégeront les protocoles DeFi à tous les niveaux : développement, couche blockchain, utilisateur. Cela rouvre tout l'espace de conception expérimentale. Les idées qui n'étaient pas économiquement viables à cause du coût élevé de la sécurité pourront enfin être testées. Une personne seule dans sa chambre pourra itérer rapidement et créer un protocole de plusieurs milliards de dollars, comme Andre et d'autres en 2020. L'ère du test en conditions réelles est de retour.
