La finance décentralisée (DeFi) a connu l'un de ses incidents informatiques les plus extraordinaires après qu'une erreur de codage générée par l'IA a exposé une vulnérabilité majeure. La dernière faille a frappé le protocole Moonwell, où une formule défectueuse d'oracle de prix, écrite par le modèle Claude Opus 4.6, a conduit à des pertes totalisant environ 1,78 million de dollars. Ce que les experts appellent désormais la première victime majeure du « vibe-coding » — la tendance au développement logiciel rapide piloté par l'IA — place le secteur DeFi à la croisée des chemins entre innovation et intégrité.
Erreur de calcul de prix de Claude Opus : chaos sur la DeFi
L’analyste en sécurité du secteur, Pashov, a révélé le problème, soulignant vivement les risques que l’intelligence artificielle fait peser sur les chaînes de développement logiciel. Au cœur de la faille se trouvait un bug dans l’oracle de prix de Moonwell : la valeur de cbETH, un actif clé, a été complètement déconnectée de la réalité du marché. Alors que le cbETH se négociait normalement autour de 2 200 dollars, il a été affiché par erreur à seulement 1,12 dollar à cause d’un code défectueux rédigé par Claude Opus 4.6. Le résultat : un terrain de jeu pour les exploitations et une cascade rapide de pertes.
L’analyse de la source de l’erreur a révélé un problème plus profond : une erreur de formule mathématique intégrée dans la logique centrale du smart contract. Selon Cos, le fondateur de SlowMist, cette erreur de calcul basique dans le flux de prix a ouvert la voie à l’exploitation de déséquilibres systémiques. Cet incident démontre clairement que même les systèmes DeFi les plus complexes peuvent être anéantis par des erreurs d’IA, soulignant leur nature précaire.
Un examen approfondi du dépôt GitHub de Moonwell et des pull requests n’a laissé aucun doute : le code erroné a été coécrit par le modèle Claude aux côtés de développeurs humains. Une confiance excessive dans le codage assisté par l’IA a brouillé des étapes d’audit essentielles, transformant des plateformes manipulant des milliards de volumes en cibles privilégiées pour les cybercriminels. Cet incident sert d’avertissement à toutes les équipes intégrant l’IA générative dans des applications critiques.
Risques liés à l'IA et nécessité d’une supervision humaine
Les acteurs du secteur qualifient cet événement de première grande attaque de l’ère du « vibe-coding ». La recherche de la rapidité, qui a mené à déléguer une autorité de développement significative à des modèles comme Claude sans relecture humaine suffisante ou vérifications de sécurité robustes, a exposé une vulnérabilité critique. L’exploitation de Moonwell s’est soldée par plus qu’une simple perte financière ; elle a soulevé des doutes sur la fiabilité des nouveaux modèles de production de code qui émergent dans l’industrie technologique.
Des spécialistes en sécurité comme Pashov et Cos avertissent que la facilité d’utilisation des systèmes autonomes pour la création de smart contracts s’accompagne de maladresses mathématiques imprévisibles, parfois catastrophiques. Une simple virgule mal placée ou un multiplicateur erroné dans le flux de valorisation a suffi à anéantir des millions de dollars en quelques secondes. Cet épisode démontre clairement que l’IA, malgré toutes ses promesses, reste trop “immature” pour assumer seule la responsabilité d’infrastructures financières à haut risque.
À la suite de cet incident, la leçon est sans ambiguïté : la « supervision centrée sur l’humain » demeure primordiale. Peu importe l’avancée des modèles génératifs, la relecture minutieuse par des auditeurs professionnels reste la protection la plus solide dans la DeFi, où l’erreur n’a pas sa place. La faille de Moonwell est déjà en passe de devenir l’un des exemples les plus coûteux d’une « hallucination » de l’IA durant le développement — avec des répercussions financières réelles qui ne seront pas oubliées de sitôt.
