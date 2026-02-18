La sécurité des protocoles de la DeFi s’impose depuis de nombreuses années comme un enjeu majeur pour leur adoption à plus grande échelle. Une exigence qui se heurte à de nombreux hacks à répétition, et que l’utilisation de plus en plus importante de l’IA pour écrire leur code ne risque pas d’arranger, comme dans le récent cas de Moonwell.

Exploitation du protocole Moonwell : une perte estimée à 1,78 million de dollars

Les exploitations de failles et autres hacks incessants qui frappent le secteur de la finance décentralisée (DeFi) s'imposent très clairement comme un problème central pour la sécurité de leurs utilisateurs, au point de représenter des pertes estimées en milliards de dollars.

Une situation critique qui pourrait bien empirer, si l'on considère la forte augmentation de l'utilisation de l'IA par les développeurs afin d'écrire le code censé garantir le bon fonctionnement de leurs protocoles, dans le cadre d'une pratique identifiée sous le terme de « vibe coding ».

Véritable risque ou simples craintes infondées ? Il semblerait bien que la réponse se trouve dans la dernière exploitation de faille - qui n'est pas la première - visant le protocole de lending multi-chain Moonwell, principalement actif sur la blockchain Ethereum, qui concentre presque 60 % de son activité.

En cause : « un flux d’oracle mal configuré » qui a défini le prix du token cbETH à 1,12 dollars... au lieu de 2 200 dollars. L'occasion pour un acteur malveillant de profiter de cette faille pour emprunter bien plus que son collatéral mis en garanti lui permettait, entraînant dans le même temps une perte de 1,78 million de dollars pour le protocole sous la forme d'une dette irrécouvrable.

Une affaire qui pourrait malheureusement apparaître comme banale, si une donnée essentielle n'avait pas finalement émergé de ce chaos numérique : l'utilisation d'un agent IA pour générer le code incriminé.<

S’agit-il du premier hack d’un code Solidity « vibe-codé » ?

Une réalité pointée par le spécialiste en sécurité numérique, Pashov, sur le réseau X, qui pourrait bien apparaître comme « le tout premier hack d’un code Solidity vibe-codé ». En effet, il semble que la faille détectée par le hacker soit issue d'un code généré par l'agent IA Claude, développé par la société Anthropic.

Claude Opus 4.6 a écrit du code vulnérable, entraînant un exploit de smart contract avec une perte de 1,78 million de dollars. Les pull request (PR) du projet montrent que certains commits ont été co-écrits par Claude — s’agit-il du premier hack d’un code Solidity « vibe-codé » ?

L'agent IA Claude aurait écrit le code à l'origine de l'exploit du protocole Moonwell

Fait notable, il semble que le responsable de cette attaque soit également à l'origine des opérations précédentes visant le protocole Moonwell, visiblement identifié comme une source importante de mauvais code à exploiter.

De quoi pousser les membres du compte X spécialisé dans le DeFi, YAM, à sonner l'alerte :

Moonwell n’est pas un marché de lending sérieux. Ils ont trop souvent échoué dans la configuration de leurs oracles. N’utilisez pas ce protocole. YAM

