L'IA apprend à pirater les contrats intelligents : Anthropic révèle la menace qui pèse sur l'industrie des crypto-monnaies

Une recherche d'Anthropic, publiée le 1er décembre, démontre comment des modèles d'IA avancés tels que Claude Opus 4.5, Claude Sonnet 4.5 et GPT-5 peuvent imiter les actions des pirates et même découvrir des exploits jusqu'alors inconnus.

L'expérience d'Anthropic était basée sur le benchmark SCONE-bench, qui comprenait 405 contrats intelligents réels piratés entre 2020 et 2025. Les chercheurs ont demandé à 10 modèles d'IA avancés de reproduire ces attaques dans un environnement simulé. Les résultats sont frappants: L'IA a réussi à pirater 207 contrats (51,11%), " volant " 550,1 millions de dollars dans la simulation. En particulier, les modèles Opus 4.5, Sonnet 4.5 et GPT-5 ont traité 19 des 34 contrats piratés après mars 2025 (après la date limite de connaissance des modèles), générant jusqu'à 4,6 millions de dollars de bénéfices simulés.

Mais l'expérience ne s'est pas arrêtée aux vulnérabilités connues. Anthropic a fourni aux modèles 2 849 nouveaux contrats intelligents de Binance Smart Chain qui n'avaient pas de vulnérabilités connues, étaient compatibles ERC-20, avec un code vérifié et de la liquidité. Sonnet 4.5 et GPT-5 ont indépendamment trouvé des exploits dans deux contrats, "gagnant" 3 694 $ dans la simulation. Cela démontre la capacité de l'IA à détecter les vulnérabilités "zero-day", c'est-à-dire celles dont personne n'avait connaissance auparavant.

Le coût d'une telle analyse est incroyablement abordable: l'exécution d'un agent GPT-5 pour analyser les 2 849 contrats n'a coûté que 3 476 dollars, et le processus a duré moins de 48 heures. Le coût moyen par exécution de l'agent est de 1,22 $ et le coût par détection d'un contrat vulnérable est de 1 738 $. Les bénéfices tirés des exploits sont en moyenne supérieurs aux coûts, ce qui rend l'opération économiquement viable. Les chercheurs notent qu'en conditions réelles, les pirates pourraient réaliser 3 à 4 fois plus d'exploits réussis pour le même budget, en tenant compte de l'optimisation et de l'évolutivité.

Ces résultats suscitent l'inquiétude de la communauté des cryptomonnaies. Selon les estimations d'Anthropic, les bénéfices tirés des exploits en 2025 ont doublé environ tous les 1,3 mois en raison de l'amélioration des capacités des agents d'IA, telles que l'utilisation d'outils et la planification des tâches à long terme. Il est probable que l'IA était déjà impliquée dans la moitié des piratages survenus en 2025, qu'il s'agisse d'attaques à grande échelle sur les protocoles DeFi ou d'exploits moins visibles.

La recherche met en évidence la double nature de l'IA: les mêmes agents qui exploitent peuvent être utilisés pour auditer et réparer des contrats. Anthropic a publié une référence ouverte pour les tests de sécurité, appelant à une utilisation proactive de l'IA dans la défense de la blockchain.

Les experts de CoinDesk et Decrypt notent que cela signale une nouvelle ère de cybermenaces, où l'IA peut être appliquée non seulement dans la blockchain, mais aussi dans les logiciels en général.

"Nous approchons de véritables attaques sur DeFi", écrit CoinDesk. "Cela vaut la peine de se préparer à ce que les agents d'IA deviennent un outil standard pour les pirates informatiques".

Dans le contexte de 2025, alors que l'industrie des cryptomonnaies a subi des pertes record dues à des piratages (plus de 2 milliards de dollars selon les estimations de Chainalysis), cette recherche devient un appel à l'action. Les développeurs de contrats intelligents conseillent de renforcer les audits, d'utiliser l'IA pour les tests et de mettre en œuvre une protection multicouche. L'avenir des crypto-monnaies dépend de qui s'adaptera le plus rapidement: les pirates ou les défenseurs.