Une entreprise de sécurité crypto a utilisé l’intelligence artificielle pour détecter une faille de haute gravité dans Nethermind, un client Ethereum utilisé par près de 40 % des validateurs. La faille, qui aurait pu perturber les opérations du réseau, a été corrigée avant d’être exploitée. Ce développement met en lumière le rôle croissant de l’IA en cybersécurité face aux préoccupations récentes sur les vulnérabilités du code généré par IA.
Octane Security, décrite comme une entreprise native de l’IA, a annoncé mercredi que son outil d’IA a identifié une vulnérabilité critique dans Nethermind, le logiciel qui alimente la blockchain Ethereum. Nethermind est utilisé par environ 40 % des validateurs Ethereum, et la faille représentait des risques pour la vivacité et la disponibilité du réseau si elle était exploitée. La vulnérabilité impliquait un sabotage potentiel via une transaction malformée, pouvant entraîner des slots manqués soutenus pour les proposants basés sur Nethermind. Les validateurs affectés auraient pu subir des récompenses de blocs manquées, des pénalités de fuite d’inactivité et une dégradation générale des performances du réseau. Cependant, la faille n’a jamais été exploitée et a été corrigée rapidement par Nethermind. Giovanni Vignone, fondateur et PDG d’Octane Security, a déclaré : « C’est l’une des démonstrations les plus risquées à ce jour de recherche de vulnérabilités menée par l’IA. » Il a ajouté que l’IA a accéléré la recherche de vulnérabilités, permettant des hypothèses de bugs, une vérification d’exploits et des rapports 10 fois plus rapides, remodelant les modèles de menaces pour le code onchain. Cette découverte fait suite de près au lancement par Anthropic la semaine dernière d’un outil d’IA qui analyse les bases de code pour détecter les vulnérabilités et suggère des correctifs, impactant les actions de cybersécurité. Des préoccupations antérieures sur l’IA en crypto incluent un incident chez Moonwell où du code généré par IA a entraîné une perte de 2,7 millions de dollars, malgré un audit réussi. Le palmarès d’Octane inclut un partenariat avec le chercheur pseudonyme Guhu lors des préparatifs de la mise à jour Fusaka d’Ethereum l’an dernier. Ils ont soumis 17 problèmes dans un concours d’audit, avec 16 corrigés, neuf jugés graves et six uniques, obtenant la quatrième place et 70 633 dollars de récompenses. La Ethereum Foundation a également accordé à Octane une prime de 50 000 dollars pour la faille Nethermind. Vignone a souligné : « Si vous n’utilisez pas l’IA pour trouver et corriger les failles en continu, vous rivalisez avec les blackhats qui le font. » Seth Hallem, PDG de Certora, a noté après Moonwell que des investissements accrus dans la conception, la modélisation des menaces et la surveillance sont essentiels alors que la codification par IA se prolifère.
