Les bugs des contrats intelligents ont drainé des milliards de dollars en crypto. Morpheus pourrait être le premier IA jamais créée pour prévenir cela.

Commençons par un chiffre qui mettra mal à l’aise tous les développeurs crypto.
3,8 milliards de dollars.
Le montant d’argent qui a été volé par des exploits de contrats intelligents sur des protocoles crypto en 2022 est encore plus grand ! Pas des crashs de marché. Pas des rug pulls. Des vulnérabilités dans le code. Des lignes de Solidity qui faisaient des choses que les auteurs n’avaient pas prévu d’elles-mêmes ont été trouvées par un attaquant avant même que les développeurs ne les écrivent.
Le pont Wormhole est de 320 millions de dollars. Une condition de validation invalide a été trouvée.
Le pont de Ronin est de 625 millions de dollars. Compromission de clé privée, en raison de décisions prises dans l’architecture du contrat.
Euler Finance. 197 millions de dollars. Une vulnérabilité de réentrée qui a passé plusieurs audits.
Tous ces projets ont été développés intelligemment. Auditeurs de sécurité professionnels. Tests approfondis. Et des milliards de plus perdus !
Je réfléchis au « comment » et au « pourquoi » de cette occurrence continue. Je pense de plus en plus, plus je creuse, que la réponse est en partie inconfortable.
Il y a une limite humaine à la sécurité des contrats intelligents.
Voici ce que je veux dire.
Une grande application DeFi pourrait nécessiter entre 10 000 et 50 000 lignes de code Solidity. Des relations entre plusieurs contrats. Des entrées inhabituelles qui ne se produisent que dans des combinaisons et/ou des ordres inhabituels. Des attaques qui impliquent plus que le code lui-même, mais aussi ce qu’il y a dedans pour l’attaquant.
Les auditeurs humains sont corrects. Les meilleurs sont vraiment exceptionnels.
Cependant, les humains se fatiguent. Les humains perdent des choses quand ils sont pressés par le temps ! Ils peuvent avoir une bonne idée de ce que fait le code, sans envisager toutes les attaques possibles contre lui.
La partie qui me pose vraiment problème, c’est ceci.
La plupart des bugs de contrats intelligents n’étaient pas des zero-days de pointe, mais plutôt des vulnérabilités assez triviales à découvrir. Dans la majorité des cas, cela était documenté depuis des années avec des modèles de vulnérabilités connus comme la réentrée, le dépassement d’entier, les échecs de contrôle d’accès.
Des modèles connus. Des solutions connues. Répétément, et à grands frais, cela n’était pas vu par des revues humaines.
Ce n’est pas une question de talent. C’est un problème d’échelle et de cohérence.
Il n’est pas pratique pour les humains de mémoriser tous les modèles de vulnérabilités connus tout en investiguant de nouveaux modèles de code. Ce n’est pas ce pour quoi nous sommes conçus, le traitement parallèle.
L’IA, oui.
C’est là où Morpheus m’engage vraiment.
Morpheus n’est pas une IA d’usage général, c’est simplement une IA qui connaît un peu Solidity. Il est développé comme un expert de l’ingénieur en contrats intelligents, avec pour seul but d’être informé sur les vulnérabilités, comment elles sont exploitées dans une attaque, et le « comment faire » des meilleures pratiques, ainsi que les innombrables cas où le code crypto a été exploité au fil des années.
La plupart du temps, cette spécialité n’est pas aussi bien comprise qu’elle devrait l’être.
De la même manière qu’une revue de contrat intelligent peut utiliser des modèles d’IA généraux, c’est comme faire opérer un chirurgien généraliste génial pour une chirurgie du cerveau. Ils peuvent détecter des problèmes facilement visibles. Cependant, le niveau de reconnaissance de modèles développé par la spécialisation et des années de formation sur des milliers de cas de vulnérabilités, d’analyses post-mortem d’attaques et de recherches en sécurité est différent.
Un modèle spécialisé ne connaît pas seulement les actions du code, mais aussi ses intentions. Il sait ce que le code pourrait faire si un adversaire le voulait.
La différence entre revue de code et revue de sécurité.
Mais il y a certaines limites dont je dois être honnête.
Les outils de sécurité IA sont aussi bons que leurs données d’entraînement. Si Morpheus est entraîné principalement sur des modèles de vulnérabilités historiques, il sera très efficace pour détecter les vecteurs d’attaque connus. Les nouveaux types d’attaques sont plus difficiles car ils ne sont pas encore documentés, car ils n’ont pas encore été exécutés.
N’oubliez pas la question de confiance. Il n’est pas surprenant que les développeurs de contrats intelligents soient sceptiques face aux nouveaux outils de sécurité. Les conséquences d’un faux négatif (lorsqu’une vulnérabilité n’est pas détectée) peuvent être spectaculaires. La friction et la frustration des développeurs sont le coût des faux positifs qui marquent un code sûr comme dangereux.
Il faudra du temps pour instaurer la confiance des développeurs dans les outils de sécurité IA. Cela prend du temps.
Ensuite, il y a le problème de l’adaptation adversariale. À mesure que la sécurité IA devient la norme, les attaquants aussi. Ils rechercheront des modèles non détectés par les modèles d’IA. La sécurité est toujours une course aux armements, et faire appel à l’IA pour la défense ne stoppe pas cette course, c’est juste un changement dans ce qu’ils optimisent.
Mais Morpheus ne peut pas être considéré comme inutile pour tout cela. Proposition de valeur spécifique.
Les hacks de contrats intelligents ne seront pas totalement éradiqués par Morpheus. Ce qu’il peut faire, c’est rendre plus difficile la livraison d’un code manifestement vulnérable de façon cohérente, identifier les modèles récurrents et aider à réduire le temps que les auditeurs humains doivent consacrer aux risques connus, pour qu’ils puissent consacrer leur temps précieux aux nouveaux risques qui nécessitent tous un jugement humain.
C’est une chose assez significative.
3,8 milliards de dollars en 2022. Si 20 % de ces vulnérabilités avaient été découvertes à l’avance, et restaient dans les portefeuilles des utilisateurs plutôt que sur les adresses des attaquants, cela représenterait 760 millions de dollars qui restent dans les portefeuilles des utilisateurs.
Le défi pour l’écosystème OpenLedger est de savoir si Morpheus peut établir sa réputation et la confiance des développeurs, et devenir une étape obligatoire dans le processus de développement de contrats intelligents plutôt qu’une étape optionnelle.
Une fois arrivé là, c’est une infrastructure au sens le plus littéral.
Ce genre d’infrastructure qu’on ne voit pas lorsqu’elle fonctionne, mais qui devient catastrophique quand elle ne fonctionne pas.
Avez-vous été personnellement impacté par un hack ou un contrat intelligent exploité ? Que pensez-vous que l’outil de sécurité IA aurait pu faire pour l’éviter ?