Selon un nouveau rapport de Chainalysis partagé cette semaine, des attaquants ont siphonné au moins 36,7 millions de dollars de protocoles exécutant des contrats intelligents non vérifiés au cours des six derniers mois. L'entreprise attribue cette augmentation directement au développement d'exploits assisté par IA — en particulier, les grands modèles de langage (LLM) qui analysent le bytecode décompilé à grande échelle. Ces résultats dressent un tableau sombre pour les équipes DeFi qui négligent la vérification des contrats : elles ne sacrifient pas seulement la transparence, elles laissent la porte ouverte à des attaques automatisées pilotées par l'IA.
Comment fonctionnent les attaques
Chainalysis décrit un pipeline qui commence par des décompilateurs comme Dedaub, Heimdall et Panoramix — des outils qui convertissent le bytecode brut en Solidity lisible. Ce code lisible est ensuite introduit dans un LLM, qui identifie les bugs de réentrance, les failles de contrôle d'accès et les erreurs arithmétiques. Le processus est automatisé, permettant aux attaquants de scanner des milliers de contrats non vérifiés, de les trier par exploitabilité estimée et rendement potentiel, puis de frapper. Les contrats non vérifiés échappent également aux regards des chercheurs en sécurité et sont souvent exclus des programmes de bug bounty — ce qui en fait des cibles privilégiées et à faible risque.
Le cas Truebit
L'incident le plus important a été le piratage de Truebit le 8 janvier, qui a drainé 36,7 millions de dollars en raison d'un dépassement d'entier dans sa courbe de liaison. Le contrat avait été déployé sur Ethereum mais jamais vérifié — il était resté non vérifié depuis 2021. La même adresse qui a exploité Truebit avait déjà touché une cible plus petite douze jours plus tôt, drainant 5 ETH du protocole Sparkle. Les produits des deux exploits ont été blanchis via Tornado Cash. Chainalysis ne nomme pas l'attaquant, mais le schéma suggère un seul opérateur ou groupe testant ses outils sur des protocoles de moindre valeur avant de s'attaquer au gros coup.
Ce qu'Anthropic a découvert
Les propres recherches d'Anthropic, citées dans le rapport, montrent que l'IA peut effectuer des étapes d'attaque avancées même pour des pirates peu qualifiés, augmentant ainsi le niveau de menace global. Dans des démonstrations distinctes, Anthropic a montré des agents d'IA exploitant de manière autonome des contrats intelligents pour des millions de dollars — y compris des contrats déployés après la date limite de connaissance des modèles. Les experts en sécurité ont averti que les agents d'IA dépassent désormais les auditeurs humains dans la DeFi, et Chainalysis s'attend à ce que cette tendance s'accélère à mesure que les outils de décompilation s'améliorent.
Ce que les protocoles devraient faire
Chainalysis exhorte chaque protocole à vérifier tout le code déployé — c'est la première et la moins coûteuse ligne de défense. Ils recommandent également d'étendre la portée des bug bounty pour couvrir les contrats non vérifiés et d'adopter une surveillance en chaîne en temps réel. Le temps presse : les mêmes outils de décompilation et LLM que les chercheurs utilisent pour le bien peuvent être réutilisés par les attaquants. La question est maintenant de savoir combien d'autres contrats non vérifiés sont encore là, attendant d'être scannés.
