Une étude récente menée par MATS et Anthropic Fellows confirme que les agents d’IA peuvent exploiter de manière rentable les vulnérabilités des contrats intelligents, établissant une “limite inférieure concrète” pour les dommages économiques.
Exploits de Smart Contracts par IA : Un Expert Prévient que les Agents Pourraient Entraîner des Pertes Annuelles de 10 à 20 Milliards de Dollars dans le Secteur DeFi
ÉCRIT PAR
PARTAGER
Nouvelles Exploitations et Réduction Alarmante des Coûts
La poussée accélérée pour automatiser les tâches humaines avec des agents d’Intelligence Artificielle (IA) fait maintenant face à un inconvénient significatif et quantifiable : ces agents peuvent exploiter de manière rentable les vulnérabilités des contrats intelligents. Une étude de recherche récente menée par MATS et Anthropic Fellows a utilisé le Smart CONtracts Exploitation benchmark (SCONE-bench) pour mesurer ce risque.
L’étude a déployé avec succès des modèles comme Claude Opus 4.5, Claude Sonnet 4.5, et GPT-5 pour développer des exploitations simulées d’une valeur de 4,6 millions de dollars. Le SCONE-bench est composé de 405 contrats intelligents réellement exploités entre 2020 et 2025. Dans leur rapport d’étude du 1er décembre, l’équipe a déclaré que le succès des agents d’IA dans le développement d’exploitations testées sur le simulateur de blockchain établit « une limite inférieure concrète pour les dommages économiques que ces capacités pourraient permettre. »
La recherche est allée plus loin en testant Sonnet 4.5 et GPT-5 sur 2 849 contrats récemment déployés sans vulnérabilités connues. Les agents ont prouvé qu’ils pouvaient générer des exploitations rentables même dans cet environnement nouveau : Les deux agents ont découvert deux nouvelles vulnérabilités zero-day et ont produit des exploitations évaluées à 3 694 $. GPT-5 a réussi cette exploitation avec un coût d’API de seulement 3 476 $.
Lire plus: De DeFi à Defcon : TRM met en garde contre l’assaut cybernétique des États-nations
Ce résultat sert de preuve de concept pour la faisabilité technique d’une exploitation autonome, réelle et rentable, soulignant la nécessité immédiate de mécanismes de défense proactifs de l’IA.
Peut-être que la découverte la plus alarmante est l’augmentation spectaculaire de l’efficacité : un attaquant peut désormais réaliser environ 3,4 fois plus d’exploitations réussies pour le même budget de calcul qu’il y a six mois. De plus, les coûts des tokens pour les exploitations réussies ont diminué de manière impressionnante de 70 %, rendant ces agents puissants beaucoup moins chers à exécuter.
Le Rôle des Boucles Agentiques et l’Amélioration des Modèles
Jean Rausis, co-fondateur de SMARDEX, attribue cette forte baisse des coûts principalement aux boucles agentiques. Ces boucles permettent des flux de travail multi-étapes et auto-correcteurs qui réduisent le gaspillage de tokens pendant l’analyse de contrat. Rausis met également en avant le rôle de l’amélioration de l’architecture des modèles :
« Les grandes fenêtres de contexte et les outils de mémoire dans les modèles comme Claude Opus 4.5 et GPT-5 permettent des simulations soutenues sans répétition, augmentant l’efficacité de 15-100% dans les tâches longues. »
Il note que ces gains d’optimisation dépassent les améliorations brutes de détection des vulnérabilités (qui n’ont augmenté le succès sur SCONE-bench que de 2 % à 51 %), car ils se concentrent sur l’optimisation du temps d’exécution plutôt que simplement sur la détection des failles.
Bien que l’étude établisse un coût simulé de 4,6 millions de dollars, les experts craignent que le coût économique réel puisse être substantiellement plus élevé. Rausis estime que les risques réels pourraient être 10 à 100 fois plus élevés, atteignant potentiellement 50 millions à 500 millions de dollars ou plus par exploitation majeure. Il avertit qu’avec l’évolution de l’IA, l’exposition totale du secteur — en tenant compte de l’effet de levier non modélisé et des défaillances d’oracles — pourrait atteindre 10 à 20 milliards de dollars par an.
Le document publié par MATS et Anthropic Fellows conclut par un avertissement : bien que les contrats intelligents puissent être la première cible de cette vague d’attaques automatisées, les logiciels propriétaires pourraient être la prochaine cible à mesure que les agents s’améliorent en ingénierie inverse.
Crucialement, le document rappelle également aux lecteurs que les mêmes agents d’IA peuvent être déployés pour la défense afin de corriger les vulnérabilités. Pour atténuer la menace financière systémique des attaques DeFi facilement automatisées, Rausis propose un plan d’action en trois étapes pour les décideurs politiques et les régulateurs : supervision de l’IA, nouvelles normes d’audit et coordination mondiale.
FAQ ❓
- Qu’a révélé l’étude sur les agents d’IA ? Les modèles d’IA comme GPT‑5 et Claude ont exploité des contrats intelligents d’une valeur de 4,6 millions de dollars dans des simulations.
- Pourquoi ce risque s’intensifie-t-il dans le monde entier ? Les coûts des tokens pour les exploitations ont chuté de 70 %, rendant les attaques moins chères et plus évolutives dans les régions.
- L’impact financier pourrait-il s’étendre au-delà de DeFi ? Les experts avertissent que les pertes réelles pourraient atteindre 50 millions à 500 millions de dollars par exploitation, avec une exposition mondiale pouvant atteindre 20 milliards de dollars par an.
- Comment les régulateurs et développeurs peuvent-ils répondre ? Les chercheurs exhortent à une supervision de l’IA, à des normes d’audit renforcées et à une coordination transfrontalière pour défendre les systèmes.
