« Tout DeFi est précaire » : l'alarme IA d'OpenZeppelin

Au 1er juin 2026, il n'existe aucun hack de la DeFi à grande échelle attribué à un agent d'IA autonome agissant en tant qu'attaquant. Et pourtant, le 26 mai, Manuel Aráoz — cofondateur d'OpenZeppelin, l'entreprise d'audit de smart contracts la plus utilisée au monde — a écrit sur X : « je considère désormais toute la DeFi comme non sécurisée ». Son argument n'est pas qu'il existe déjà des vols perpétrés par une intelligence artificielle autonome, mais quelque chose de plus structurel : les agents de codage avec IA (des modèles qui lisent et écrivent du code de manière autonome) sont « surhumains pour trouver des vulnérabilités », et la sécurité des contrats intelligents (programmes qui s'exécutent seuls sur la blockchain et gardent les fonds) est « trop asymétrique : le défenseur doit corriger toutes les failles, tandis qu'il suffit d'un seul exploit à l'attaquant pour voler les fonds ». Aráoz a même déclaré avoir conseillé à ses amis et à sa famille de sortir d'Aave, MakerDAO et Compound. Cet article sépare le vérifiable du projectif : il quantifie l'asymétrie dénoncée, passe en revue avec des chiffres datés le pire quadrimestre de hacks de l'histoire de la DeFi — plus de 606 millions de dollars rien qu'en avril, soit 76 % de la valeur volée de l'année en seulement deux attaques de la Corée du Nord selon TRM Labs — et explique ce qui change opérationnellement, sans tomber dans l'alarmisme qui a contaminé la couverture médiatique de ces derniers jours.

Qu'a dit exactement le cofondateur d'OpenZeppelin ?

Le message d'Aráoz était un « PSA » (avis de service public) bref et percutant, publié le 26 mai et amplifié par la presse spécialisée le lendemain. La phrase clé — « coding agents are superhuman at finding vulnerabilities » — soutient que le goulot d'étranglement historique d'une attaque contre un protocole (trouver la faille) est en train de s'effondrer : ce qui nécessitait auparavant des semaines de travail pour un auditeur humain expert peut désormais être réalisé en quelques heures par un agent d'IA sur n'importe quel code public.

Il convient de préciser qui s'exprime, car la presse a simplifié les faits. Aráoz a cofondé OpenZeppelin en 2015 et en a été le CTO, mais il a quitté l'entreprise en 2019 : il n'y occupe aucun poste actuel. Son avertissement a du poids en raison de son parcours — il a écrit une partie des bibliothèques de contrats utilisées aujourd'hui par la moitié d'Ethereum —, et non parce qu'il représente la position officielle de la société. En fait, OpenZeppelin s'est distancée auprès des médias : elle a déclaré que « les opinions d'Aráoz ne représentent pas la position actuelle d'OpenZeppelin », et son CEO et cofondateur, Demian Brener, a soutenu que la réponse correcte est une sécurité continue augmentée par l'IA, et non le retrait. Il ne s'agissait pas d'un communiqué formel sur leur blog d'entreprise, mais de clarifications à la presse.

Une nuance chronologique importe, que plusieurs médias ont confondue : le cadre « Four Layers of DeFi Risk » qu'OpenZeppelin a publié le 12 de mai est antérieur au post d'Aráoz et n'est pas une réplique à son cofondateur. Quiconque le présente comme « l'entreprise a répondu avec un framework » se trompe de dates.

Pourquoi la surface d'attaque de la DeFi est-elle si asymétrique ?

L'asymétrie que dénonce Aráoz n'est pas rhétorique : c'est une propriété structurelle du fonctionnement de la DeFi. Un smart contract déployé possède trois caractéristiques qui, combinées, donnent l'avantage à l'attaquant.

Premièrement, le code est public. N'importe qui peut lire le bytecode sur la blockchain, et l'immense majorité des protocoles sérieux publient en plus leur code source vérifié. L'attaquant n'a pas besoin de faire fuiter des plans ni de soudoyer un employé pour voir comment le coffre-fort est construit : il l'a ouvert sur la table, avec les schémas à côté.

Deuxièmement, le code est immuable ou presque. Une fois déployé, il ne se patche pas comme une application mobile qui reçoit une mise à jour nocturne. Le modifier nécessite des mécanismes de gouvernance, des clés d'administration ou des contrats évolutifs — qui constituent eux-mêmes une surface d'attaque supplémentaire —. Le défenseur est en retard par conception.

Troisièmement, le code garde l'argent directement. Il n'y a pas de couche bancaire pour geler un transfert suspect a posteriori. Si l'exploit fonctionne, les fonds sortent dans le même bloc et, via un pont inter-chaînes, se dispersent en quelques minutes.

Sur ces trois traits repose l'asymétrie mathématique : le défenseur doit combler 100 % des failles possibles — les connues et celles qu'il n'imagine pas encore —, indéfiniment ; l'attaquant doit en trouver exactement une. C'est la même logique qu'en cybersécurité classique, avec une différence brutale : ici, il n'y a ni patch d'urgence ni réversion de la transaction.

Ce que l'IA change dans cette équation n'est pas la créativité — les meilleurs exploits requièrent toujours une intuition sur la logique économique d'un protocole —, mais l'échelle et la vitesse de l'audit offensif. La boucle est concrète et peu coûteuse à opérer : un coding agent extrait le code source vérifié d'un contrat via l'API publique d'Etherscan, le déploie sur un fork local de la chaîne, exécute un fuzzing symbolique — tester des entrées générées automatiquement pour forcer des états inattendus — sur chaque fonction et itère sur des milliers de contrats sans coût marginal par tentative. Il n'y a personne à soudoyer ni de plans à voler : le matériel de base est public et la machine ne se fatigue pas. Le défenseur d'un seul protocole continue d'avancer à une vitesse humaine ; le scan offensif massif, non.

Combien a-t-on réellement perdu dans la DeFi en 2026 ?

Voici la donnée brute qui donne de la crédibilité à l'avertissement, indépendamment de l'IA. Selon CoinDesk, au cours des douze mois entre mai 2025 et mai 2026, plus de 1,1 milliard de dollars ont été perdus dans la DeFi — un chiffre à lire comme un agrégat journalistique et non comme une donnée on-chain auditée de manière indépendante —. Et le rythme s'est envolé en 2026 : 47 incidents au cours des quatre premiers mois et demi de l'année contre 28 sur la même période en 2025, soit une hausse de 68 %, selon CryptoTimes et Crowdfund Insider.

La répartition mensuelle raconte une histoire d'accélération violente vers avril :

Les chiffres de janvier à mars sont des fourchettes car les sources (DefiLlama, CryptoTimes) consolident les données à des rythmes différents ; le trimestre s'est clôturé autour de 169 millions selon DefiLlama. La lecture ne réside pas dans la décimale exacte mais dans la forme de la courbe : trois mois contenus puis un mois d'avril qui, à lui seul, multiplie par plus de trois le trimestre entier. Le corollaire est une chute de la TVL (valeur totale verrouillée dans les protocoles DeFi) de plus de 20 milliards de dollars depuis le début de l'année, selon CoinDesk — tout n'est pas attribuable aux hacks, mais la perte de confiance pèse lourd —.

Qui est derrière les grands vols d'avril ?

C'est ici que le récit de « l'IA attaque déjà la DeFi » s'effondre face aux faits. Les deux plus gros vols de l'année ont des auteurs humains parfaitement identifiés, et aucun n'a été l'œuvre d'un agent autonome.

La preuve empirique la plus probante est fournie par TRM Labs : la Corée du Nord a volé 76 % de toute la valeur hackée en crypto en 2026 (jusqu'en avril) avec seulement deux attaques — Drift le 1er avril et Kelp DAO le 18 avril, soit environ 577 millions de dollars combinés —. Selon TRM, ces deux coups représentent « 3 % du nombre d'incidents de 2026 et 76 % de la valeur volée ». La concentration importe plus que le pourcentage lui-même : le problème de 2026 n'est pas un nuage diffus d'IA autonomes scannant des contrats, mais un unique acteur étatique humain qui fait basculer les statistiques de l'année entière avec deux opérations soigneusement préparées. Tout modèle de menace ignorant cela regarde au mauvais endroit.

Le hack de Kelp DAO (292 millions de dollars, 18 avril) a exploité le pont LayerZero du protocole. La cause n'était pas une faille logique qu'une IA aurait « découverte » : c'était une configuration non sécurisée — un vérificateur unique (DVN, Decentralized Verifier Network) en mode « 1 sur 1 » — combinée à une attaque par déni de service (DDoS) sur les nœuds RPC pour aveugler le protocole pendant la manœuvre. Le wETH s'est retrouvé bloqué sur une vingtaine de chaînes. Chainalysis et Halborn l'attribuent à Lazarus, le groupe de Corée du Nord.

Le hack de Drift Protocol (~285 millions, 1er avril, sur Solana) était encore plus analogique : selon Chainalysis, des mois d'ingénierie sociale contre les signataires du protocole, achevés par un abus de « durable nonces » (un mécanisme de Solana permettant de signer des transactions valides indéfiniment). Chainalysis, TRM Labs et Elliptic l'attribuent à des acteurs de Corée du Nord. Patience humaine, et non vitesse de machine.

Le cas qui se rapproche le plus de la thèse d'Aráoz est Step Finance (entre 27 et 40 millions de dollars selon la source ; protocole fermé le 24 février 2026). La séquence est importante : des attaquants humains ont compromis les appareils des dirigeants du protocole, obtenant ainsi leurs clés privées et, une fois à l'intérieur, ont abusé des propres agents d'IA du protocole — qui avaient des permissions de transfert de fonds — comme vecteur amplificateur pour déplacer le butin. BleepingComputer chiffre le vol à 40 millions ; Halborn, qui a reconstitué l'incident, le situe autour de 30 millions à partir des 261 854 SOL détournés. C'est une nuance décisive et exactement l'inverse du titre facile : l'IA a été un outil exploité après une compromission humaine classique, et non un attaquant autonome. La pièce vulnérable était l'identité machine avec des permissions excessives, et non un modèle qui aurait décidé de voler de son propre chef.

Alors, l'IA est-elle déjà en train de hacker la DeFi ou pas encore ?

Au 1er juin 2026, il n'existe aucun hack de la DeFi à grande échelle attribué à un agent d'IA autonome agissant en tant qu'attaquant. Quiconque affirme le contraire vend des gros titres. Les grands vols de 2026 sont des opérations humaines — Lazarus en tête — qui, dans certains cas, utilisent l'IA comme un outil supplémentaire, au même titre que les exploits, l'ingénierie sociale ou les DDoS.

Cela n'affaiblit pas l'avertissement d'Aráoz : cela le renforce en le remettant à sa place. Ce qu'il décrit est une capacité émergente, pas un rapport de pertes. Sa thèse est que la barrière qui protégeait historiquement les protocoles médiocres — le fait que trouver une faille était coûteux et lent — est en train de tomber. Quand l'audit offensif de tout le code public de la DeFi coûtera peu et sera rapide, l'inventaire des failles « économiquement non rentables à chercher » cessera d'exister. L'asymétrie défenseur-attaquant, qui a toujours été là, devient insoutenable pour tout protocole n'ayant pas une sécurité de premier plan.

L'honnêteté sur cette distinction est précisément ce qui sépare l'analyse du clic facile. Le danger est réel et structurel ; le « c'est déjà en train d'arriver avec l'IA » est encore faux. Les deux affirmations sont vraies simultanément.

Un utilisateur devrait-il quitter Aave ou Compound à cause de cela ?

La réponse courte : la position d'Aráoz est celle d'une personne privée qui a quitté l'entreprise en 2019, et OpenZeppelin elle-même l'a nuancée. Aave, MakerDAO (aujourd'hui Sky) et Compound sont précisément les protocoles avec les audits continus les plus denses, les plus gros bug bounties (récompenses pour signalement de failles) et les mécanismes de pause d'urgence du secteur. Ils ne sont pas le maillon faible ; ils sont les cibles les plus coûteuses à attaquer.

Cela dit, l'avertissement contient une lecture opérationnelle sensée pour tout utilisateur, sans panique :

Quitter précipitamment les protocoles les plus audités pour placer son capital dans des alternatives moins bien révisées serait le pire dénouement possible de cet avertissement : exactement le contraire de l'objectif visé.

Qu'est-ce qui rend un protocole sûr en 2026 ?

La réponse la plus inconfortable pour la thèse de l'« attaquant surhumain » est celle-ci : les deux plus grands hacks de 2026 ne sont pas survenus à cause d'une vulnérabilité cachée qu'une IA aurait dû découvrir, mais à cause d'une décision humaine de configuration qui avait déjà été signalée. LayerZero avait explicitement averti Kelp du risque d'opérer le pont avec un vérificateur en mode « 1 sur 1 » — une seule DVN signant, sans redondance — avant le hack. Il n'a pas fallu d'agent pour scanner des milliers de fonctions : la porte était marquée comme non sécurisée par le fournisseur lui-même et a été laissée ouverte malgré tout. L'asymétrie défenseur-attaquant ne se perd pas dans la sophistication de l'attaquant ; elle se perd dans la négligence concrète du défenseur.

Cela réorganise la hiérarchie de la défense. Avant l'empilement des couches vient la discipline de ne pas ignorer les avertissements que vous avez déjà sur la table. Et l'économie de la défense, quand elle est bien faite, est quantifiable : le programme de bug bounty d'Aave sur Immunefi paie jusqu'à 1 000 000 de dollars pour une faille critique signalée. Ce chiffre est le levier clé — si récompenser le signalement d'une faille s'avère plus rentable que de l'exploiter, l'économie de l'attaquant s'inverse et les chercheurs (humains et, de plus en plus, assistés par l'IA) travaillent pour le défenseur. Sur ces deux piliers — ne pas ignorer les avertissements, payer pour les failles — repose le reste :

• Audit continu, pas ponctuel. Un audit d'il y a deux ans sur un protocole qui a changé dix fois ne vaut rien. Les protocoles sérieux auditent chaque changement et maintiennent une surveillance on-chain en temps réel.
• Mécanismes de pause. La capacité de geler le contrat face à un comportement anormal est la seule chose qui transforme un vol de centaines de millions en un vol de quelques-uns — à condition qu'elle soit activée à temps ; chez Kelp, les nœuds RPC ont été aveuglés par un DDoS précisément pour l'empêcher.
• Configuration des ponts vérifiée. Le cas Kelp en une ligne : ne jamais opérer un pont inter-chaînes avec un vérificateur unique quand le fournisseur recommande la redondance.
• Assurances on-chain. Des couvertures comme celles de Nexus Mutual n'empêchent pas le hack, mais transfèrent une partie du risque et sont un signal que des tiers indépendants ont évalué le protocole comme assurable.
• Permissions minimales pour les identités machine. La leçon de Step Finance : un agent d'IA avec des permissions de transfert est une bombe. Le principe du moindre privilège s'applique aux bots autant qu'aux personnes.

Quelle leçon tirer de cet avertissement ?

La phrase d'Aráoz fonctionne comme un thermomètre, pas comme une sentence. Et le thermomètre réel de 2026 pointe vers un endroit très différent de celui suggéré par le titre : si la Corée du Nord concentre 76 % de la valeur volée de l'année en deux attaques, le risque dominant de la DeFi aujourd'hui n'est pas diffus dans une IA autonome qui n'existe pas encore, mais concentré chez un acteur étatique humain avec du temps, de la patience et des cibles sélectionnées à la main. Le modèle de menace correct pour 2026 est Lazarus faisant de l'ingénierie sociale contre des signataires, et non un modèle de langage volant de son propre chef.

L'ironie que défend Brener, le CEO d'OpenZeppelin, est cohérente : la même IA qui amplifie l'attaquant peut être mise à contribution pour auditer de manière continue du côté du défenseur. La question ouverte — et honnêtement sans réponse à ce jour — est de savoir qui court le plus vite dans cette course au scan, celui qui défend un protocole ou celui qui en scanne des milliers à la fois. Cette course n'est pas encore décidée, et feindre que l'attaquant l'a déjà gagnée, c'est offrir de la peur là où il faut de la gestion de risque.

L'aspect projectif — que les agents de codage rendent l'asymétrie défenseur-attaquant insoutenable en réduisant le coût du scan offensif massif — est plausible et mérite d'être pris au sérieux. Mais la conduite rationnelle aujourd'hui n'est pas de fuir la DeFi : c'est de préférer les protocoles qui n'ignorent pas les avertissements qu'ils reçoivent (la leçon de Kelp), avec une défense en profondeur et des bug bounties importants, de minimiser l'exposition sur les ponts, de révoquer les approvals inutilisés et de se méfier des rendements provenant de protocoles non audités. L'asymétrie a toujours été là ; la nouveauté n'est pas que l'IA attaque déjà, mais que le coût pour l'exploiter chute alors que l'acteur qui vole le plus reste de chair et d'os.

Sources et liens : CoinDesk — Aráoz : « DeFi isn't safe anymore » · CoinDesk — Kelp DAO, 292 M$ · Chainalysis — Leçons du hack de Drift · CryptoTimes — Avril 2026, pire mois · OpenZeppelin — Four Layers of DeFi Risk · CoinDesk — Chute de 20 000 M$ de la TVL · TRM Labs — Corée du Nord, 76 % de la valeur volée en deux attaques · Halborn — Le hack de Step Finance · BleepingComputer — Step Finance, appareils compromis et 40 M$