Le CEO d'OpenZeppelin Manuel Aráoz a averti mercredi qu'il considère désormais que « toute » la finance décentralisée est unsafe, estimant que les agents de code IA sont devenus « surhumains » pour repérer les vulnérabilités dans les smart contracts. L'avertissement survient alors que la valeur totale verrouillée (TVL) de la DeFi a reculé de plus de 20 milliards de dollars depuis le début de l'année et que les pertes liées aux hacks suivies par DeFiLlama ont dépassé 1,1 milliard de dollars sur les douze derniers mois — incluant l'exploit de 292 millions de dollars subi par Kelp DAO en avril et la brèche de 27 millions de dollars chez Step Finance, qui a contraint ce projet basé sur Solana à cesser son activité.
Pourquoi c'est important
L'argument d'Aráoz repose sur une asymétrie ancienne de la sécurité des smart contracts : les défenseurs doivent corriger chaque bug, les attaquants n'ont qu'à en trouver un seul. Les agents de code, a-t-il écrit sur X, ont fait basculer cet équilibre de façon décisive du côté des attaquants. Son avertissement coïncide avec la divulgation par Anthropic selon laquelle son modèle restreint Claude Mythos peut découvrir de manière autonome des vulnérabilités logicielles et développer des exploits fonctionnels à un niveau que l'entreprise dit supérieur aux outils automatisés existants. Une catégorie d'attaquants opérant à la vitesse des machines, qui analyse du code on-chain publiquement lisible pour y chercher des failles, bouleverse le modèle de menace sur lequel la DeFi a été conçue — un modèle pensé pour des humains travaillant à une vitesse humaine.
Impact sur le marché
Le tableau macroéconomique renforce l'avertissement. La contraction de plus de 20 milliards de dollars de la TVL DeFi cette année s'explique en partie par les prix, mais le rythme soutenu d'exploits à forte visibilité continue, à lui seul, de retirer de la liquidité du secteur. La brèche chez Kelp DAO a montré comment une vulnérabilité dans l'infrastructure cross-chain peut se propager à l'ensemble de l'écosystème en quelques heures, tandis que l'arrêt de Step Finance a démontré que les protocoles de taille moyenne disposent de peu de marge pour absorber un seul coup majeur. Pour l'heure, la question pratique pour les protocoles est de savoir si les outils côté défenseur — vérification formelle, surveillance on-chain, patchs automatisés — peuvent être déployés au même rythme que les agents côté attaquants que signale Aráoz.
Questions fréquemment posées
-
Qui est Manuel Aráoz et pourquoi son avertissement a-t-il du poids ?
Aráoz est le CEO d'OpenZeppelin, l'une des firmes de sécurité smart contract les plus utilisées en crypto, dont les bibliothèques sécurisent une part importante du code DeFi déployé. Son avertissement selon lequel il considère désormais toute la DeFi comme unsafe est significatif car il vient de l'intérieur du camp…
-
Combien la DeFi a-t-elle perdu à cause des hacks sur les 12 derniers mois ?
Les données DeFiLlama citées dans le rapport montrent plus de 1,1 milliard de dollars perdus dans des hacks DeFi sur les douze derniers mois. Cela inclut l'exploit de 292 millions de dollars chez Kelp DAO en avril et la brèche de 27 millions de dollars chez Step Finance, qui a contraint ce projet basé sur Solana à…
-
Qu'est-ce que Claude Mythos et quel est son lien avec l'avertissement ?
Claude Mythos est un modèle IA restreint d'Anthropic que l'entreprise dit capable de découvrir de manière autonome des vulnérabilités logicielles et de développer des exploits fonctionnels à un niveau surpassant les outils automatisés existants. L'avertissement d'Aráoz sur les agents de code IA, tombé la même semaine…
-
Pourquoi parle-t-on d'asymétrie pour la sécurité des smart contracts ?
Les défenseurs doivent corriger chaque vulnérabilité du code d'un protocole pour le maintenir sûr, tandis que les attaquants n'ont besoin de trouver qu'un seul bug exploitable pour drainer des fonds. L'argument d'Aráoz est que les agents de code IA accentuent ce déséquilibre en repérant les bugs plus vite que les…
-
De combien la valeur totale verrouillée de la DeFi a-t-elle reculé cette année ?
Les données DeFiLlama montrent que la TVL de la DeFi a reculé de plus de 20 milliards de dollars depuis le début de l'année 2026. Une partie reflète la faiblesse générale des prix crypto, mais le rythme soutenu d'exploits à forte visibilité a aussi, à lui seul, retiré de la liquidité du secteur.