Une erreur liée à un code IA cause des pertes de millions pour Moonwell

La plateforme de prêt décentralisée Moonwell (DeFi) a perdu près de deux millions de dollars à cause d’une source de prix mal configurée pour une cryptomonnaie. L’erreur n’a pas été causée par un piratage classique, mais est survenue après l’implémentation de smart contracts dont certaines parties ont été rédigées avec l’aide de l’IA.

L’incident alimente le débat sur la sécurité de l’intelligence artificielle au sein des systèmes financiers critiques.

Erreur de prix cbETH entraîne des pertes en millions

Sur la plateforme Moonwell, active sur les blockchains Base et Optimism, une erreur majeure a été commise lors de la configuration de l’affichage du prix du cbETH, une pièce liée à l’Ethereum staké via la plateforme Coinbase. Un oracle de prix a affiché soudainement une valeur de seulement 1,12 dollar, alors que la valeur réelle était d’environ 2 200 dollars.

Cette erreur a conduit la plateforme à croire qu’un gage précieux ne valait pratiquement rien. Des robots de trading et des utilisateurs ont exploité la situation pour ouvrir ou ajuster stratégiquement des positions. Résultat : une dette irrécouvrable d’environ 1,78 million de dollars pour la plateforme.

L’erreur provient d’une proposition de gouvernance de la communauté où l’oracle de prix a été mal configuré. Le système ne liait plus le cbETH qu’à la valeur de l’ETH, sans connexion avec le prix en dollars.

L’IA a aidé à écrire le code

Il est notable que certaines parties des smart contracts ont été générées à l’aide du modèle d’IA Claude Opus 4.6 d’Anthropic. Cela a été confirmé par le chercheur en sécurité Pashov, qui a analysé publiquement l’événement.

Selon lui, il serait simpliste d’imputer la faute exclusivement à l’IA. Il affirme que l’erreur aurait pu être commise par un développeur humain. Le véritable problème réside, selon Pashov, dans le manque de tests d’intégration approfondis et de vérification indépendante avant la mise en production de la modification.

Moonwell affirme avoir réalisé des tests unitaires et d’intégration, et que l’entreprise de sécurité Halborn a effectué un audit. Toutefois, l’erreur de prix n’a pas été détectée.

Quelle est la sécurité de l’IA ?

L’incident chez Moonwell n’est pas unique en termes de pertes financières, mais il attire l’attention par le rôle de l’intelligence artificielle. Fraser Edwards, PDG de la plateforme d’identité cheqd, souligne que l’IA est utilisée de deux manières : soit en tant que générateur de code complet par des fondateurs moins expérimentés, soit comme outil de soutien par des professionnels.

Selon lui, le code généré par l’IA doit toujours être considéré comme une « entrée peu fiable » à moins d’avoir été testé, vérifié et revu plusieurs fois. Surtout dans la DeFi, où des milliards de capitaux circulent, la discipline est plus importante que la technologie.

“Au final, l’intégration responsable de l’IA repose sur la gouvernance et la discipline,” déclare Edwards. En d’autres termes, l’IA peut être précieuse, mais ne doit jamais remplacer le contrôle humain.