Problème 5588
Utiliser des modèles d'IA pour exploiter les failles des contrats de cryptomonnaie semble être un modèle économique prometteur, même si ce n'est pas forcément légal.
Des chercheurs de l'University College London (UCL) et de l'Université de Sydney (USYD), en Australie, ont conçu un agent d'IA capable de d�étecter et d'exploiter de manière autonome les vulnérabilités des contrats intelligents.
Les contrats intelligents, qui n'ont jamais été à la hauteur de leur nom, sont des programmes auto-exécutables sur diverses blockchains qui effectuent des transactions financières décentralisées (DeFi) lorsque certaines conditions sont remplies.
Un système comme A1 peut générer des profits
Comme la plupart des programmes suffisamment complexes, les contrats intelligents comportent des bugs, et exploiter ces bugs pour voler des fonds peut être lucratif. L'année dernière, le secteur des cryptomonnaies a perdu près de 1,5 milliard de dollars à cause de piratages informatiques, selon le fournisseur de plateformes de sécurité Web3 Immunefi [PDF]. Depuis 2017, les criminels ont détourné environ 11,74 milliards de dollars sur les plateformes DeFi.
Et il semble que les agents d'IA puissent faciliter encore davantage le détournement de ces fonds.
Arthur Gervais, professeur en sécurité de l'information à l'UCL, et Liyi Zhou, maître de conférences en informatique à l'USYD, ont développé un système d'agent IA appelé A1. Ce système utilise différents modèles d'IA d'OpenAI, de Google, de DeepSeek et d'Alibaba (Qwen) pour développer des exploits pour les contrats intelligents Solidity.
Ils décrivent ce système dans un article préliminaire intitulé « Génération d'exploits pour contrats intelligents d'agent IA ».
À partir d'un ensemble de paramètres cibles (la blockchain, l'adresse du contrat et le numéro de bloc), l'agent choisit des outils et collecte des informations pour comprendre le comportement et les vulnérabilités du contrat. Il génère ensuite des exploits sous forme de contrats Solidity compilables, qu'il teste par rapport aux états historiques de la blockchain.
Si on leur demande de trouver des vulnérabilités dans le code, les LLM peuvent trouver des bugs, mais ils inventent souvent des failles fantômes en si grand nombre que des projets open source comme curl ont interdit la soumission de rapports de vulnérabilité générés par l'IA.
Le système d'agent A1 se compose donc d'un ensemble d'outils pour rendre ses exploits plus fiables. Ceux-ci incluent : un récupérateur de code source capable de résoudre les contrats proxy, et des outils individuels pour initialiser les paramètres, lire les fonctions de contact, nettoyer le code, tester l'exécution du code et calculer les revenus.
« A1 génère l'intégralité des exploits », a déclaré Zhou à The Register par e-mail. « C'est important. Contrairement aux autres outils de sécurité LLM, le résultat n'est pas un simple rapport, mais du code exécutable. A1 est très proche d'un hacker humain. »
Testé sur 36 contrats vulnérables réels sur les blockchains Ethereum et Binance Smart Chain, A1 a affiché un taux de réussite de 62,96 % (17 sur 27) au benchmark VERITE.
Selon les auteurs, A1 a également détecté neuf contrats vulnérables supplémentaires, dont cinq après la date limite d'entraînement du modèle le plus performant, o3-pro d'OpenAI. Ce résultat est pertinent, car il indique que le modèle ne se contente pas de régurgiter les informations de vulnérabilité mises à disposition lors de l'entraînement.
« Sur l'ensemble des 26 cas réussis, A1 extrait jusqu'à 8,59 millions de dollars par cas, soit 9,33 millions de dollars au total », indique l'article. « À travers 432 expériences menées sur six LLM, nous analysons les performances itératives, montrant des rendements décroissants avec des gains marginaux moyens de +9,7 %, +3,7 %, +5,1 % et +2,8 % pour les itérations 2 à 5 respectivement, avec des coûts par expérience compris entre 0,01 $ et 3,59 $. » Les chercheurs ont testé A1 avec différents LLM : o3-pro (OpenAI o3-pro, o3-pro-2025-06-10), o3 (OpenAI o3, o3-2025-04-16), Gemini Pro (Google Gemini 2.5 Pro Preview, gemini-2.5-pro), Gemini Flash (Google Gemini 2.5 Flash Preview 05-20:thinking, gemini-2.5-flash-preview-04-17), R1 (DeepSeek R1-0528) et Qwen3 MoE (Qwen3-235B-A22B).
Les modèles o3-pro et o3 d'OpenAI ont obtenu les taux de réussite les plus élevés, respectivement 88,5 % et 73,1 %, compte tenu d'un budget de cinq tours pour que le modèle interagisse avec lui-même dans la boucle de l'agent. Les modèles o3 ont réussi à maintenir une forte optimisation des revenus, obtenant respectivement 69,2 % et 65,4 % du revenu maximal des contrats exploités.
Des exploits de ce type peuvent également être identifiés grâce à l'analyse manuelle du code, combinée à des outils de fuzzing statique et dynamique. Cependant, les auteurs observent que les méthodes manuelles ont leurs limites, en raison du volume et de la complexité des contrats intelligents, de la lenteur et de la rareté des experts en sécurité, et du taux élevé de faux positifs des outils automatisés existants.
En théorie, A1 pourrait être déployé et générer des revenus supérieurs à son coût d'exploitation grâce aux exploits, à condition que les forces de l'ordre n'interviennent pas.
« Un système comme A1 peut être rentable », explique Zhou. « Pour donner un exemple concret [tiré de l'article], la figure 5 montre qu'o3-pro reste rentable même si seulement une analyse sur 1 000 révèle une vulnérabilité réelle, à condition que cette vulnérabilité ait été introduite au cours des 30 derniers jours. »
Zhou a expliqué que la fenêtre temporelle était importante, car les chercheurs sont plus susceptibles d'avoir découvert des vulnérabilités plus anciennes et les utilisateurs peuvent les avoir corrigées.
« Trouver des bugs aussi récents n'est pas chose aisée, mais c'est possible, surtout à grande échelle. Une fois quelques exploits utiles découverts, ils peuvent facilement rentabiliser le coût de milliers d'analyses. Et avec l'amélioration continue des modèles d'IA, nous nous attendons à ce que les chances de trouver ces vulnérabilités et la gamme de contrats couverts augmentent, rendant le système encore plus efficace au fil du temps. »
Interrogé sur la détection par A1 de vulnérabilités zero-day, Zhou a répondu : « Aucune vulnérabilité zero-day n'est mentionnée dans cette étude (pour l'instant). »
L'étude conclut en mettant en garde contre l'asymétrie d'un facteur 10 entre les gains liés à l'attaque et ceux liés à la défense, si les attaquants utilisent des outils d'IA et les défenseurs des outils traditionnels. En résumé, les auteurs soutiennent que soit les primes de bug doivent se rapprocher de la valeur des exploits, soit le coût de l'analyse défensive doit être réduit d'un ordre de grandeur.
« La découverte d'une vulnérabilité nécessite environ 1 000 analyses, pour un coût de 3 000 $ », indique l'article. « Un exploit de 100 000 $ financerait 33 000 analyses futures pour un attaquant, tandis que la prime de 10 000 $ offerte à un défenseur n'en couvrirait que 3 300. Cet écart de capacité de réinvestissement entraîne des divergences entre les capacités d'analyse. »
Le risque d'emprisonnement pourrait modifier quelque peu les calculs. Mais compte tenu du contexte réglementaire actuel aux États-Unis et d'un taux de répression de la cybercriminalité estimé à 0,05 %, il s'agirait d'un faible ajustement du risque.
Zhou soutient que l'écart de coût entre l'attaque et la défense représente un défi de taille.
« Je recommande aux équipes de projet d'utiliser elles-mêmes des outils comme A1 pour surveiller en permanence leur propre protocole, plutôt que d'attendre que des tiers détectent des failles », a-t-il déclaré. « L'utilité pour les équipes de projet et les attaquants réside dans la valeur totale verrouillée du contrat intelligent, tandis que les récompenses des hackers sont souvent plafonnées à 10 %. »
« Cette asymétrie rend difficile la compétitivité sans sécurité proactive. S'appuyer sur des équipes tierces revient à espérer qu'elles agiront de bonne foi et respecteront la prime de 10 % – ce qui, du point de vue de la sécurité, est une hypothèse très étrange. Je suppose généralement que tous les acteurs sont financièrement rationnels lorsqu'ils modélisent des problèmes de sécurité. »
Dans la version préliminaire de leur article du 8 juillet, les chercheurs ont indiqué qu'ils prévoyaient de publier A1 en code source ouvert. Mais Zhou a affirmé le contraire lorsqu'il a été interrogé sur la disponibilité du code source.
« Nous avons supprimé la mention de l'open source (arXiv le montrera demain) car nous ne sommes pas encore sûrs que ce soit la bonne décision, compte tenu de la puissance d'A1 et des préoccupations ci-dessus », a-t-il déclaré.