Anthropic démontre une évolution majeure dans la sécurité des chaînes de blocs. Selon l’étude publiée, des agents d’intelligence artificielle ont reproduit des attaques historiques contre des contrats intelligents et ont identifié des vulnérabilités inédites dont la valeur simulée atteint 4,6 millions de dollars. Cette automatisation offensive ouvre un nouveau cycle de risques pour les entreprises qui appuient leurs activités sur des mécanismes transactionnels programmables.
La sécurité des contrats intelligents, ces programmes autonomes enregistrés dans la chaîne de blocs qui exécutent automatiquement des actions prédéfinies lorsque des conditions vérifiées sont réunies, repose traditionnellement sur des audits spécialisés et sur des analyses manuelles exigeantes. L’étude montre qu’un agent IA parvient désormais à reconstituer une exploitation complète en s’appuyant sur une compréhension détaillée des mécanismes internes des chaînes de blocs. Anthropic a structuré ses essais pour observer non seulement la détection de failles mais surtout la capacité à générer une attaque. Les résultats signalent une rupture dans la manière d’appréhender la sûreté logicielle de l’écosystème blockchain.
L’étude s’appuie sur un ensemble de 405 contrats intelligents ayant subi des attaques confirmées entre 2020 et 2025. Chacun reflète une faiblesse caractéristique des usages décentralisés tels que les dérèglements d’oracle, les failles de re-entrance ou les erreurs de gestion des privilèges. Anthropic a soumis ces exemples à des modèles de dernière génération dont Claude Opus 4.5, Claude Sonnet 4.5 et GPT-5. Les agents ont exploité 207 contrats avec succès en déterminant la logique de l’attaque sans aide humaine. Le protocole d’évaluation SCONEbench montre la capacité d’un modèle à dérouler un raisonnement complet pour identifier l’enchaînement permettant d’augmenter le solde d’un portefeuille fictif.
550 millions de dollars en péril
Cette approche reproduit fidèlement les situations rencontrées dans les applications financières décentralisées. Les modèles n’ont pas reçu d’indications explicites concernant les vulnérabilités. Ils ont établi seuls la stratégie d’exploitation. Cette autonomie invalide les mécanismes de sécurité fondés sur l’inaccessibilité du code et impose une évolution des pratiques de revue. Les équipes techniques doivent désormais traiter l’agent IA comme un adversaire potentiel capable d’agissement contraires.
A la suite de cette constatation, Anthropic réévalue l’impact économique des failles historiques. L’exploitation cumulée des 405 contrats représenterait un volume simulé de 550,1 millions de dollars. L’étude va plus loin en évaluant la capacité offensive des agents sur des contrats plus récents. Les modèles ont analysé des smart contracts publiés après la coupure des données d’entraînement de mars 2025. Les systèmes ont reconstitué des attaques équivalant à 4,6 millions de dollars. Ce résultat confirme que les agents ne s’appuient pas uniquement sur la mémoire des incidents passés. Ils généralisent les schémas d’exploitation en fonction de la logique interne du code.
Pour les organisations, cette réalité modifie profondément la gestion du risque. Chaque évolution fonctionnelle ou chaque intégration externe introduit un potentiel de vulnérabilité susceptible d’être identifié automatiquement. Les contrôles ponctuels montrent leurs limites. Les chaînes de développement doivent intégrer des évaluations continues, alignées sur des pratiques DevSecOps adaptées à la spécificité des environnements décentralisés.
2 849 contrats analysés : 2 failles inédites et de nouveaux risques
Pour anticiper les menaces émergentes, les chercheurs ont analysé 2 849 contrats récents. Les agents ont découvert deux vulnérabilités inédites qui n’avaient fait l’objet d’aucune exploitation connue. Les scripts générés créent un gain fictif de 3 694 dollars. Le montant reste limité mais le signal stratégique est fort. Les modèles ne se contentent plus de reproduire des scénarios passés. Ils identifient des erreurs logiques nouvelles et élaborent des attaques par prototypage. Le cycle de découverte s’accélère et renforce la nécessité d’une surveillance proactive.
Cette capacité met en lumière un enjeu méthodologique majeur. Les équipes de sécurité doivent renforcer les dispositifs d’analyse continue pour détecter les comportements transactionnels inattendus et les variations subtiles dans l’état d’un contrat. Les environnements blockchain nécessitent une visibilité accrue sur les modèles et schémas anormaux. La prévention ne dépend plus seulement de l’intégrité du code mais aussi de la qualité de son monitoring opérationnel.
Transformation du modèle défensif de la blockchain
Les résultats de l’étude redéfinissent l’équilibre entre attaque et défense. Les attaquants peuvent désormais recourir à des agents capables de reconstituer des exploitations complexes sans expertise manuelle. La vitesse d’exécution joue un rôle décisif dans la protection des actifs numériques. Les protocoles de gouvernance doivent prévoir des mécanismes de mise à jour accélérée et de suspension temporaire des contrats compromis. L’intégrité financière dépend de la capacité à réagir en quelques secondes plutôt qu’en plusieurs heures.
Pour les entreprises spécialisées dans l’audit des contrats, la méthode SCONEbench offre un nouveau référentiel. Les cycles d’audit classiques doivent évoluer vers des simulations offensives systématiques. L’intégration d’agents IA défensifs permettra de reproduire la démarche des attaquants avant le déploiement du code. Cette évolution rapproche la sécurité blockchain des pratiques de cybersécurité avancée où la simulation en continu devient un pilier incontournable.
Vers une sécurité contractuelle augmentée par l’automatisation IA
Les conclusions de l’étude montrent que la sécurité des contrats intelligents doit reposer sur une combinaison de vérification formelle, de simulation automatisée et de surveillance avancée. Les organisations doivent intégrer des agents défensifs capables de générer des scénarios de menace, d’analyser les réponses du code et de documenter les vulnérabilités de manière structurée. Les environnements de développement devront évoluer vers des pipelines continus où chaque modification sera testée contre un ensemble d’agents configurés comme adversaires.
Le secteur blockchain entre dans une nouvelle phase où la gouvernabilité dépend directement de la qualité des modèles mis en œuvre et de leur aptitude à révéler des failles émergentes. Les entreprises, les administrations et les fournisseurs de services doivent renforcer leurs approches, investir dans des outils d’analyse avancée et consolider leurs pratiques de développement. Cette trajectoire soutiendra la résilience des protocoles et garantira la confiance nécessaire à la gestion de flux financiers critiques.
