Manuel Aráoz, co-fondateur d’OpenZeppelin, la société qui développe les bibliothèques de contrats intelligents les plus utilisées sur Ethereum et d’autres chaînes, a déclaré ce 26 mai le
Aráoz a défendu sa position dans le utilisation de l’IA pour mener des piratages et des cyberattaques:
Les agents de chiffrement (outils d’IA) sont surhumains pour détecter les vulnérabilités, et la sécurité des contrats intelligents est trop asymétrique : les défenseurs doivent corriger chaque bug tandis que les attaquants n’ont besoin que d’un seul exploit pour voler des fonds.
Manuel Aráoz, co-fondateur d’OpenZeppelin.
L’asymétrie décrite par Aráoz n’est pas un avertissement technique abstrait, mais vient plutôt de la personne qui a conçu une partie des fondations sur lesquelles reposent ces protocoles.
Le diagnostic intervient après une vague d’attaques et d’exploits dans l’espace DeFi depuis avril dernier. Ce mois-là, les protocoles DeFi ont enregistré au moins 34 piratages avec des pertes d’environ 635 millions de dollarstel que rapporté par CriptoNoticias.
En mai, la tendance s’est poursuivie. Le pont entre les réseaux Verus et Ethereum a été vidé pour 11,58 millions de dollars et THORChain a enregistré des pertes estimées à plus de 10 millions de dollars.
L’IA comme multiplicateur d’attaque
L’accélération des hacks a un dénominateur commun aux yeux de ceux qui les analysent de l’intérieur.
Maximiliano Carjuzaa, co-fondateur de Money On Chain (un protocole DeFi construit sur Rootstock, la chaîne latérale de Bitcoin) a déclaré dans une interview avec CriptoNoticias qu’il estime que près de 100 % des attaques enregistrées au cours des deux derniers mois impliquaient l’IA dans une certaine mesure, soit pour découvrir le vecteur d’attaque, soit pour développer l’exploit, soit les deux.
En outre, Carjuzaa estime que le danger va croître à l’avenir, en particulier avec le nouveau modèle d’IA d’Anthropic, appelé Mythos, qui n’a pas encore été rendu public, qui est testé par des sociétés telles que Google, Microsoft et qui “a déjà trouvé des milliers de vulnérabilités zero-day”, selon Carjuzaa.
Je pense que dans les mois à venir, cela va frapper très fort et nous allons le voir dans les gouvernements des pays du tiers monde, les hôpitaux, les armées, les commissariats de police, les PME, ça va être sauvage.
Maximiliano Carjuzaa, co-fondateur de Money On Chain.
Carjuzaa lui-même a fait l’expérience de la dualité du problème. Un outil d’IA a détecté une vulnérabilité dans le code Money On Chain en une minute environ qui avait passé cinq audits humains en sept ans de production et est resté exposé depuis le lancement du protocole. Carjuzaa et son équipe ont suspendu la plateforme, résolu le problème, puis l’ont rouverte.
Dans le même esprit, Charles Guillemet, directeur technologique chez Ledger, a expliqué que demander à un modèle de langage d’analyser les différences de sécurité entre deux versions d’un programme et de générer un exploit est actuellement plus rapide, moins cher et plus efficace que n’importe quelle méthode précédente.
Le code n’est pas le problème : une opinion qui contredit Manuel Aráoz
Marc Zeller, co-fondateur d’Ethereum France et l’un des principaux organisateurs d’EthCC (la plus grande conférence Ethereum en Europe), a rejeté le diagnostic d’Aráoz :
Moins de 10 % des problèmes DeFi au cours de la dernière année sont dus au code. La plupart d’entre eux sont de mauvais réglages des paramètres, des liquidations de garanties et une mauvaise sécurité opérationnelle.
Marc Zeller, co-fondateur d’Ethereum France.
La distinction est pertinente. Un bug de code est une erreur dans la logique du contrat intelligent qu’un auditeur (ou un outil d’IA) peut trouver avant le déploiement. En revanche, une mauvaise configuration des paramètres constitue une décision de gouvernance, par exemple établir un ratio de collatéral trop permissif, permettre la garantie d’actifs peu liquides ou ne pas mettre à jour les seuils de risque face aux évolutions du marché.
La sécurité opérationnelle, évoquée par Zeller, fait référence à comment les clés sont gérées avec accès aux fonctions de protocole critiques. Si Zeller a raison, l’argument d’Aráoz, selon lequel les agents d’IA rendent le code indéfendable, s’attaque à un vecteur qui, en pratique, ne serait pas dominant.
Le piratage du pont Verus-Ethereum le 17 mai illustre le propos du co-fondateur d’Ethereum France, puisque le contrat vérifiait correctement l’intégrité cryptographique des messages qu’il recevait, mais n’a pas vérifié que les quantités déclarées lors de cette exportation étaient étayées par une valeur réelle bloquée dans la chaîne d’origine.
L’attaquant de ce pont a construit une transaction d’environ 10 $ de frais avec des montants sources vides. Le réseau l’a alors accepté comme valide et le contrat a libéré 11,58 millions $ de ses réserves. Il ne s’agissait donc pas simplement d’un bug qu’un outil d’IA pouvait détecter en scannant des lignes de code, mais bien d’un bug. décision architecturale sur ce qui a été vérifié et ce qui ne l’a pas été.
