La sécurité des protocoles DeFi est-elle compromise par la généralisation du « vibe coding » ?

Exploitation du protocole Moonwell : une perte estimée à 1,78 million de dollars

Les exploitations de failles et autres hacks incessants qui frappent le secteur de la finance décentralisée (DeFi) s'imposent très clairement comme un problème central pour la sécurité de leurs utilisateurs, au point de représenter des pertes estimées en milliards de dollars.

Une situation critique qui pourrait bien empirer, si l'on considère la forte augmentation de l'utilisation de l'IA par les développeurs afin d'écrire le code censé garantir le bon fonctionnement de leurs protocoles, dans le cadre d'une pratique identifiée sous le terme de « vibe coding ».

✍️ pour aller plus loin : comment sécuriser votre environnement numérique et financier ?

Véritable risque ou simples craintes infondées ? Il semblerait bien que la réponse se trouve dans la dernière exploitation de faille - qui n'est pas la première - visant le protocole de lending multi-chain Moonwell, principalement actif sur la blockchain Ethereum, qui concentre presque 60 % de son activité.

En cause : « un flux d’oracle mal configuré » qui a défini le prix du token cbETH à 1,12 dollars... au lieu de 2 200 dollars. L'occasion pour un acteur malveillant de profiter de cette faille pour emprunter bien plus que son collatéral mis en garanti lui permettait, entraînant dans le même temps une perte de 1,78 million de dollars pour le protocole sous la forme d'une dette irrécouvrable.

Une affaire qui pourrait malheureusement apparaître comme banale, si une donnée essentielle n'avait pas finalement émergé de ce chaos numérique : l'utilisation d'un agent IA pour générer le code incriminé.<

S’agit-il du premier hack d’un code Solidity « vibe-codé » ?

Une réalité pointée par le spécialiste en sécurité numérique, Pashov, sur le réseau X, qui pourrait bien apparaître comme « le tout premier hack d’un code Solidity vibe-codé ». En effet, il semble que la faille détectée par le hacker soit issue d'un code généré par l'agent IA Claude, développé par la société Anthropic.

Claude Opus 4.6 a écrit du code vulnérable, entraînant un exploit de smart contract avec une perte de 1,78 million de dollars. Les pull request (PR) du projet montrent que certains commits ont été co-écrits par Claude — s’agit-il du premier hack d’un code Solidity « vibe-codé » ?

🗞️ Le fondateur d'Aave souhaite transformer l'énergie solaire en collatéral pour la DeFi

L'agent IA Claude aurait écrit le code à l'origine de l'exploit du protocole Moonwell

Fait notable, il semble que le responsable de cette attaque soit également à l'origine des opérations précédentes visant le protocole Moonwell, visiblement identifié comme une source importante de mauvais code à exploiter.

De quoi pousser les membres du compte X spécialisé dans le DeFi, YAM, à sonner l'alerte :

Moonwell n’est pas un marché de lending sérieux. Ils ont trop souvent échoué dans la configuration de leurs oracles. N’utilisez pas ce protocole.

Sources : Pashov, YAM

Passionné par les cryptomonnaies et le principe de décentralisation depuis de nombreuses années, je souhaite partager cette expérience avec le plus grand nombre. Je m'attache également à décrypter les enjeux associés à l'évolution de cet écosystème au sein de la finance traditionnelle.

Hugh Bernard

636 articles

Tous ses articles