Imaginez une seconde : une intelligence artificielle, seule devant son écran, analyse des milliers de lignes de code Solidity, repère une faille que personne n’avait vue, écrit l’exploit en quelques minutes et vide un contrat de plusieurs millions de dollars. Science-fiction ? Plus vraiment. Décembre 2025 vient de marquer un tournant terrifiant pour la sécurité blockchain.
Quand l’IA devient le nouveau hacker ultime d’Ethereum
Une étude conjointe entre Anthropic et les chercheurs du MATS (Mentorship for Alignment of Transformative Systems) vient de tomber comme une bombe. Leur conclusion est simple et glaçante : les modèles d’IA les plus avancés sont désormais capables de rivaliser – voire de dépasser – les meilleurs hackers humains sur la chasse aux vulnérabilités des smart contracts.
Le nom du benchmark qui a servi de terrain d’expérimentation ? SCONE-bench (Smart CONtract Exploitation benchmark). Et il ne mesure pas les bugs en « points » ou en « CVSS » comme les benchmarks classiques. Non. Il mesure en dollars. Des dollars volés en simulation.
Le chiffre qui fait froid dans le dos
Sur 405 vrais contrats déjà exploités entre 2020 et 2025, dix modèles d’IA différents ont réussi à reproduire des attaques sur 207 d’entre eux. Montant total simulé : 550,1 millions de dollars. Oui, vous avez bien lu.
GPT-5 et Claude à l’assaut des contrats post-mars 2025
Pour éviter toute fuite de données d’entraînement, les chercheurs ont isolé les contrats exploités après mars 2025. Résultat ? GPT-5, Claude Opus 4.5 et Claude Sonnet 4.5 ont quand même réussi à générer des exploits valides pour un total de 4,6 millions de dollars en profits simulés.
Pire : face à 2 849 contrats récents sans vulnérabilité connue, les mêmes modèles ont découvert deux zero-day entièrement nouveaux, générant près de 3 700 $ de profit simulé chacun.
« Nous avons maintenant la preuve que l’exploitation autonome et rentable de smart contracts est non seulement possible, mais déjà à portée de main des IA actuelles. »
Équipe Anthropic / MATS Fellows – Décembre 2025
Exemple concret : la fonction qui gonfle les tokens à l’infini
Un des cas étudiés est particulièrement parlant. Un contrat sur une chaîne EVM-compatible possédait une fonction de calcul de tokens… laissée publiquement modifiable. L’IA a tout simplement appelé cette fonction en boucle pour gonfler son solde. Profit simulé : 2 500 $ en conditions normales, jusqu’à 19 000 $ en pic de liquidité.
Le pire ? Un white-hat indépendant a dû intervenir en urgence pour récupérer les fonds avant qu’un vrai attaquant ne passe à l’acte.
Pourquoi SCONE-bench change tout
Jusqu’à présent, on évaluait la dangerosité des IA en cybersécurité avec des métriques floues. SCONE-bench, lui, parle le langage que tout le monde comprend : l’argent.
- Exploits mesurés en dollars volables, pas en « nombre de bugs »
- Simulation réaliste avec liquidité réelle du moment de l’attaque
- Possibilité de tester n’importe quel contrat avant déploiement
- Outil déjà utilisé par plusieurs équipes d’audit de premier plan
En clair : on passe d’une cybersécurité défensive à une cybersécurité proactive et économique.
Les compétences que les IA maîtrisent désormais mieux que beaucoup d’humains
Ce qui effraie les chercheurs, ce n’est pas seulement le résultat chiffré. C’est la qualité du raisonnement démontrée :
- Analyse fine du flux de contrôle (control-flow)
- Détection des débordements entiers et des conditions de course
- Compréhension profonde des spécificités EVM (gas, storage, delegatecall…)
- Construction d’exploits multi-transactions complexes
- Optimisation du profit en fonction de la liquidité disponible
Autrement dit, les IA ne se contentent plus de trouver des bugs évidents. Elles pensent comme les meilleurs pentesters crypto.
Et demain ? Une guerre IA contre IA
Les auteurs de l’étude ne tournent pas autour du pot : la prochaine étape logique, c’est le déploiement d’agents IA autonomes qui scannent la blockchain 24/7 à la recherche de proies faciles.
Mais il y a aussi l’autre côté de la médaille : les mêmes modèles peuvent être utilisés en défense. Plusieurs projets travaillent déjà sur des « IA garde-fous » capables d’auditer un contrat en quelques minutes avant son déploiement.
Les solutions qui émergent dès aujourd’hui
- Audits automatisés par Claude ou GPT-5 avant chaque déploiement
- Intégration de SCONE-bench dans les pipelines CI/CD des protocoles
- Bug bounties « IA-only » avec récompenses doublées
- Contrats « IA-proof » avec nouvelles primitives de sécurité
Ce que ça change pour vous, investisseur ou développeur
Si vous avez des fonds en DeFi, la menace vient de passer au niveau supérieur. Un contrat audité par une équipe humaine il y a six mois peut très bien être vulnérable à une attaque IA conçue hier.
Si vous développez, le message est clair : un audit humain ne suffira bientôt plus. Il faudra faire relire votre code par une IA adversaire avant de le déployer.
Et pour les équipes de sécurité ? C’est Noël avant l’heure : les meilleurs outils d’audit automatisés viennent de passer de « jouets » à « armes de destruction massive »… mais cette fois du bon côté de la force.
L’ère de la cybersécurité blockchain 100 % automatisée et économique est déjà là. La question n’est plus de savoir si une IA va vider votre protocole, mais quand – et surtout, de quel côté de la barrière vous vous trouverez.
Bienvenue dans la nouvelle guerre froide de la blockchain : IA offenseurs contre IA défenseurs. Et le premier camp qui prendra vraiment le dessus risque de redessiner complètement la carte de la DeFi.
