Pourquoi les contrats non vérifiés sont-ils devenus des cibles prioritaires ?
Pendant longtemps, les protocoles qui gardaient leur code source fermé bénéficiaient d’une protection par l’obscurité. Sans accès au Solidity original, un attaquant devait d’abord décompiler le bytecode déployé sur la chaîne, une tâche fastidieuse qui filtrait de facto la plupart des tentatives.
Cette barrière a disparu. Les LLM modernes peuvent ingérer un bytecode brut, reconstituer la logique métier sous-jacente et identifier des surfaces d’attaque exploitables en quelques minutes. Selon Chainalysis, c’est précisément ce changement d’échelle qui explique les 36,7 M$ de pertes enregistrées sur ces contrats en six mois. Les smart contracts non vérifiés représentaient jusqu’ici un angle mort des audits de sécurité ; ils deviennent aujourd’hui le terrain de chasse privilégié des attaquants automatisés.
Comment l’IA construit-elle un pipeline d’exploit de bout en bout ?
L’avantage structurel mis en avant par Chainalysis ne tient pas à un outil unique, mais à un enchaînement automatisé. Un LLM analyse le bytecode, identifie une vulnérabilité de type reentrancy ou overflow, génère le code d’exploit, simule la transaction dans un environnement de test et valide la rentabilité, le tout sans intervention humaine entre chaque étape.
Ce type de pipeline réduit le coût d’entrée d’une attaque de façon radicale. Là où une équipe d’auditeurs expérimentés facturerait plusieurs semaines de travail pour auditer un contrat complexe, un attaquant équipé d’un pipeline IA peut scanner des centaines de contrats en parallèle. L’asymétrie est documentée depuis plusieurs années dans le domaine de la sécurité DeFi, mais elle prend ici une dimension inédite : les smart contracts à code fermé, autrefois perçus comme moins risqués car moins lisibles, perdent leur seul avantage comparatif.
« Les grandes instances de protocoles qui auraient autrefois découragé les attaquants ne constituent plus un obstacle suffisant dès lors que les LLM peuvent analyser le bytecode décompilé à une vitesse et une échelle impossibles à atteindre pour une équipe humaine. » : Chainalysis, juin 2026 (traduit de l’anglais)
Quelles réponses concrètes pour les équipes de sécurité ?
La réponse défensive la plus directe reste la vérification publique du code source. Un contrat vérifié sur Etherscan ou Solscan offre certes une visibilité totale à tous, y compris aux attaquants, mais il rend également possible un audit communautaire continu et l’intégration aux outils de détection automatique. C’est le paradoxe de la transparence en sécurité blockchain : l’obscurité ne protège plus, et la vérification reste la norme recommandée.
Au-delà de la vérification, plusieurs pistes complémentaires existent. Les protocoles peuvent recourir à des audits de smart contracts menés par des firmes spécialisées avant tout déploiement, instaurer des mécanismes de pause d’urgence intégrés au contrat, ou encore limiter les montants mobilisables dans une seule transaction. Ethereum reste le théâtre principal de ces attaques, comme le rappelle son positionnement de réseau incontournable pour les smart contracts malgré ses contraintes historiques de coût et de congestion.
L’intégration de l’IA côté défense progresse également. Plusieurs firmes de sécurité déploient des outils qui surveillent en continu les transactions sur les contrats non vérifiés et alertent en temps réel sur les motifs d’exploitation connus. Reste que la course entre attaquants et défenseurs se joue désormais à des vitesses qui dépassent les capacités humaines des deux côtés.
Lecture CryptoActu L’ironie de cette tendance est que l’IA, souvent présentée comme un outil de sécurité pour les protocoles DeFi, s’avère d’abord un multiplicateur de force pour les attaquants. Chainalysis documente ici une rupture structurelle : le code fermé n’est plus une protection. Les équipes qui n’ont pas encore fait auditer leurs contrats et les publier en open source jouent contre leur propre camp.
À retenir
En six mois, 36,7 M$ ont été volés sur des smart contracts non vérifiés grâce à des pipelines d’exploit assistés par IA. La barrière de l’obscurité du code source ne tient plus face aux LLM. À surveiller : l’évolution des outils de détection automatique côté défense et les premières actions réglementaires ciblant les protocoles sans audit public.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash