« Tout le DeFi est dangereux », prévient un développeur alors que les Agents d'IA redéfinissent les menaces de sécurité

Des attaquants ont drainé environ 200 000 $ des pools de liquidité DeFi sur Ethereum — plus précisément Uniswap V3 — après avoir exploité des failles dans le système d'incitation de WUSD.fi et GLOVE, selon les chercheurs en sécurité d'ExVul.

Les attaquants ont fait circuler des fonds à travers plusieurs portefeuilles pour farmer des récompenses à plusieurs reprises, en tirant parti des défauts intégrés dans la structure d'incitation du protocole.

Une Vague d'Attaques Frappant l'Écosystème

Cet incident est l'un des plusieurs qui ont secoué l'espace DeFi ces derniers jours. Des publicités Google frauduleuses se faisant passer pour Uniswap ont également fait surface plus tôt cette semaine, redirigeant des utilisateurs peu méfiants vers des sites d'hameçonnage conçus pour voler des identifiants de portefeuille — une arnaque qui, selon les rapports, a drainé au moins 400 000 $ avant d'être signalée.

Ces incidents consécutifs ont ouvert la voie à un avertissement public sans détour de la part de Manuel Aráoz, le fondateur d'OpenZeppelin, l'une des entreprises de sécurité de smart contract les plus utilisées dans l'industrie.

Aráoz a déclaré qu'il considère désormais l'ensemble de la DeFi comme non sécurisée, une déclaration qui s'est rapidement répandue dans les cercles de développeurs après qu'il l'a publiée en ligne.

Son raisonnement pointe un problème fondamental dans le fonctionnement de la sécurité blockchain. Les défenseurs doivent trouver et corriger chaque vulnérabilité, tandis qu'un attaquant n'en a besoin que d'une seule pour vider entièrement un protocole.

Les Outils d'IA Modifient l'Équilibre

Aráoz a désigné les outils de codage pilotés par l'IA comme la raison pour laquelle cet équilibre est devenu plus difficile à gérer. Les rapports indiquent qu'il pense que ces outils permettent aux attaquants d'analyser les contrats à la recherche de failles à une vitesse et à une échelle que la plupart des équipes de sécurité ne peuvent pas égaler.

Il est allé plus loin dans des communications privées, conseillant apparemment à ses amis et à sa famille de retirer leurs fonds des principales plateformes DeFi, notamment Aave, MakerDAO et Compound. Ces trois plateformes représentent une part significative de la valeur totale verrouillée (TVL) dans la Finance Décentralisée.

Des analystes en cybersécurité ont soulevé des préoccupations similaires, avertissant que l'IA accélère la vitesse à laquelle les attaquants peuvent cartographier les vulnérabilités, construire une infrastructure d'hameçonnage et exécuter des stratégies d'exploitation simulées contre des protocoles en direct.

Le problème est aggravé par la façon dont les protocoles DeFi modernes sont construits. Beaucoup empilent désormais plusieurs composants les uns sur les autres — ponts, systèmes de prêt, mécanismes de staking, contrats de récompense automatisés — et chaque couche supplémentaire élargit la surface à défendre.

OpenZeppelin lui-même avait précédemment signalé le danger de ces combinaisons, en identifiant une vulnérabilité issue de l'interaction entre les standards ERC-2771 et Multicall, deux types de contrats largement utilisés qui ont créé une exposition involontaire lorsqu'ils sont utilisés ensemble.

Les principaux protocoles ont répondu en investissant massivement dans des audits, des programmes de bug bounty et la vérification formelle. Les rapports notent que même ces efforts n'ont pas complètement fermé la porte aux attaques d'hameçonnage et aux schémas de manipulation des incitations.

La préoccupation est maintenant de savoir si les projets DeFi plus petits — ceux qui n'ont pas le budget pour des revues de la sécurité continues — peuvent résister à des attaquants qui se déplacent plus vite qu'auparavant.

Image mise en avant de Binance, graphique de TradingView