Cependant, les deux incidents les plus importants n’étaient pas de simples exploits de contrats intelligents du type que l’IA pourrait concevoir.
Dans l’un d’entre eux, un groupe lié à la Corée du Nord a drainé environ 285 millions de dollars du Drift Protocol après une campagne d’ingénierie sociale de six mois qui lui a valu un accès administrateur. Pour l’autre, l’attaquant a exploité une faille d’un seul vérificateur qui a permis de siphonner environ 292 millions de dollars de Kelp DAO.
Un autre exemple s’est produit mardi, lorsque Humanity Protocol, un service décentralisé d’identité humaine, a perdu plus de 30 millions de dollars à cause d’une compromission de clé privée. CoinDesk a découvert qu’un pirate informatique avait eu accès à trois des six clés privées de l’ordinateur portable d’un employé,
C’est là le problème. Bien que les invites de contrats intelligents les plus évidentes soient exactement celles que les filtres d’Anthropic sont conçus pour détecter, les pertes les plus importantes n’ont pas nécessité un bug de contrat.
Les exploits, a noté Guillemet de Ledger, proviennent de points faibles familiers : ingénierie sociale, mauvais flux de signature, clés exposées et erreur humaine.
Un modèle comme Fable n’a pas besoin de livrer un exploit terminé pour modifier les aspects économiques d’une attaque. Il peut lire des référentiels publics, comparer d’anciennes versions de logiciels, résumer des rapports d’audit et rédiger des messages convaincants recherchant les petites erreurs opérationnelles manquées par les humains.
« Ces exploits restent ancrés dans l’ingénierie sociale et l’erreur humaine. »
Un défenseur, dans un tel environnement, doit sécuriser chaque chemin de clé, chaque dépendance, chaque flux de signature et chaque compte privilégié. Parce que l’IA accélère la phase de repérage, l’étape finale de signature devient plus importante. Les clés privées doivent se trouver dans un endroit inaccessible à un ordinateur portable compromis, et les utilisateurs ont besoin d’un écran fiable qui montre ce qu’ils approuvent réellement.