Un bug majeur découvert dans la principale réseau de confidentialité Zcash grâce à l'intelligence artificielle pourrait être un signe avant-coureur indiquant que des failles similaires non découvertes existent dans les logiciels crypto et bancaires.
Ce qui inquiète la communauté crypto, c'est que ce bug, présent dans le réseau depuis 4 ans, n'a été découvert que récemment par Shielded Labs, un développeur non lucratif du système de tokens de confidentialité, en utilisant le modèle d'IA Opus 4.8 nouvellement publié par Anthropic. La vulnérabilité, que Zcash a indiquée comme « ayant été corrigée », si elle était restée non détectée, aurait pu permettre à un attaquant de créer une quantité illimitée de tokens falsifiés.
Cette révélation a déjà semé la panique au sein de la communauté crypto et a fait chuter le token Zcash de près de 38 % au cours des dernières 24 heures. Certains ont même affirmé sur les réseaux sociaux que « La crypto est morte. Nous aurions dû pivoter vers l'IA. »
Maintenant, la question que tout le monde se pose est la suivante : alors que l'IA s'améliore et que le monde se prépare à la sortie du tout nouveau modèle Mythos d'Anthropic, censé être bien plus capable d'identifier et de relier les faiblesses entre les systèmes, la sécurité de l'industrie crypto est-elle en danger ?
Cependant, la célèbre firme de capital-risque crypto Dragonfly (un des premiers investisseurs dans Zcash) et son Managing Partner, Haseeb Qureshi, ont une vision légèrement différente de l'IA et de la sécurité crypto. À ses yeux, le fait que l'IA découvre des vulnérabilités est une bonne chose, car cela ne fera qu'améliorer le code.
« Bien que l'IA ait trouvé ce bug, l'IA fournira également la solution pour toute la catégorie : la vérification formelle. Je suis très optimiste à ce sujet comme étant la voie pour renforcer tous les logiciels de l'industrie », a-t-il déclaré dans un post sur X.
Alors que la firme de Haseeb continue de détenir du Zcash et reste optimiste sur le rôle de l'IA dans la sécurité crypto, Ben Goertzel, PDG de la firme d'IA SingularityNET, a déclaré à CoinDesk que des vulnérabilités similaires ne se limitent pas à la sécurité crypto, mais se cachent probablement également dans le système bancaire traditionnel.
« Les autres cryptomonnaies ne sont pas vulnérables à ce bug spécifique, qui était une simple erreur de logique dans l'implémentation de Zcash », a expliqué Goertzel, ajoutant que les autres cryptomonnaies « sont très susceptibles de posséder des vulnérabilités similaires, qui seront probablement découvertes par des outils d'IA dans les semaines et les mois à venir. »
De plus, Goertzel a indiqué que « les infrastructures logicielles des banques et d'autres institutions centralisées sont également très susceptibles d'incorporer des bugs graves qui seront découverts par des outils d'IA dans un avenir proche. »
'Verification formelle'
Alors, quelle est la véritable solution à cette menace de l'IA ?
Qureshi et Goertzel ont tous deux déclaré que le code cryptographique et l'infrastructure logicielle mondiale doivent passer à la « vérification formelle ».
Le processus consiste essentiellement à « rédiger des preuves de théorèmes mathématiques de telle manière que ces théorèmes puissent être vérifiés automatiquement », comme l'a expliqué le cofondateur d'Ethereum, Vitalik Buterin. Il a noté que la vérification formelle assistée par l'IA pourrait devenir l'un des outils les plus importants pour la cybersécurité, car les systèmes d'IA de plus en plus avancés facilitent la découverte de vulnérabilités logicielles.
Et Qureshi a fait écho à ce sentiment.
« La cryptographie vérifiée formellement ne peut pas avoir de bugs d'implémentation par construction », a-t-il déclaré. « Actuellement, l'IA met au jour des vulnérabilités dans tous nos logiciels -- les navigateurs, les systèmes d'exploitation et les blockchains ne font pas exception », a-t-il ajouté, soulignant que les logiciels vérifiés formellement seraient la « seule voie à suivre pour les logiciels critiques », ce sur quoi Zcash a concentré sa feuille de route.
Goertzel, quant à lui, a expliqué pourquoi les développeurs n'utilisent pas encore ce processus de vérification formelle pour rendre leurs logiciels infaillibles.
Il a soutenu que bien que le langage de programmation « Rust » utilisé par Zcash puisse être vérifié formellement, les développeurs le font rarement car cela nécessite un travail supplémentaire. De plus, Goertzel a noté que les bibliothèques Rust de base utilisent souvent des constructions « non sûres » difficiles à vérifier.
Cependant, les réécrire pour les rendre sûres ralentirait le logiciel : un problème, a-t-il déclaré, qui pourrait être résolu en utilisant des techniques avancées telles que la « supercompilation » pour améliorer les performances.
Une guerre de sécurité asymétrique
Mais mettre en œuvre ces protections est plus facile à dire qu'à faire, a déclaré à CoinDesk Ronghui Gu, PDG et cofondateur de la firme de sécurité CertiK.
Gu a indiqué que la défense contre ces menaces est devenue une bataille inégale.
« Nous assistons actuellement à une guerre de consommation de tokens d'IA dans laquelle les pirates sont fortement motivés par le profit », a-t-il déclaré. « Pour trouver un exploit, ils peuvent brûler un nombre massif de tokens d'IA sur une seule cible, comme un projet ou un contrat intelligent. »
Gu a expliqué que les pirates motivés par le profit sont actuellement engagés dans une guerre de consommation de tokens, brûlant d'énormes quantités de puissance de calcul pour cibler des contrats intelligents individuels. Comme les firmes de sécurité doivent protéger des centaines de clients simultanément, elles ne peuvent pas allouer les mêmes ressources concentrées à une seule cible sans engendrer des coûts en capital significatifs.
Pour se protéger de ce risque asymétrique, Gu a déclaré que les firmes de sécurité doivent intégrer des scanners automatisés directement dans les flux de travail de développement quotidiens via des sessions plus petites et à la demande, tout en s'appuyant sur des preuves mathématiques pour garantir que les contrats satisfont aux propriétés de sécurité clés.
Pour Gu, le défi n'est plus simplement de trouver des bugs avant les attaquants ; il s'agit plutôt de mettre à l'échelle les défenses contre ces vulnérabilités assez rapidement pour suivre le rythme des systèmes d'IA de plus en plus puissants.
Bien que le débat sur la manière de devancer de telles vulnérabilités se poursuive probablement, à mesure que l'IA devient meilleure, plus rapide et plus intelligente, la question pour tous les développeurs est de savoir comment garantir que de tels incidents ne se reproduisent plus jamais.
Peut-être que Josh Swihart, PDG de ZODL (ancien PDG d'Electric Coin Company, un développeur clé de Zcash), l'a formulé de manière pertinente :
« La question la plus intéressante est de savoir comment nous garantissons que les vulnérabilités ne se reproduisent plus jamais. La meilleure réponse est la vérification formelle », a déclaré Swihart dans son article sur X, intitulé « Never Again ».