Le fondateur de Zcash, Zooko Wilcox, a annoncé qu'un audit de sécurité mené par le modèle d'IA Anthropic Mythos n'a révélé aucune vulnérabilité grave dans le protocole de la cryptomonnaie axée sur la confidentialité, suite à la correction d'un bug de fraude aux transactions précédemment découvert.
Audit commandé par Shielded Labs
L'audit a été lancé par Shielded Labs, une fondation suisse à but non lucratif soutenant le développement de Zcash. Selon Wilcox, l'audit réalisé par l'IA n'a révélé « aucun nouveau bug grave » dans le protocole Zcash.
Le 3 juin, les développeurs de Zcash ont temporairement suspendu les transactions sur le pool Orchard suite à la découverte d'une vulnérabilité dans le pool sécurisé. Le service a été rétabli le jour même grâce à une mise à jour d'urgence. La cause était un bug de manipulation de données vieux de quatre ans dans le pool sécurisé Orchard, découvert par le chercheur en sécurité Taylor Hornby à l'aide de Claude Opus 4.8. La Fondation Zcash a confirmé qu'aucune exploitation n'a été détectée, qu'aucune création de pièces non autorisée n'a été constatée et que les données confidentielles des utilisateurs n'ont pas été compromises.
Modèles d'IA : à la fois outil de défense et menace
Alors que les développeurs utilisent de nouveaux modèles d'IA pour identifier les vulnérabilités, cette même technologie crée de nouveaux risques pour le secteur.
Récemment, Anthropic a publié la première version publique du modèle Claude Mythos, Fable 5. Un mois auparavant, la société avait annoncé que Mythos avait identifié plus de 10 000 vulnérabilités critiques et de haute gravité dans des logiciels d'importance systémique. Cette annonce a suscité un vif débat quant à l'opportunité de rendre le modèle public.
Anthropic assurait aux utilisateurs que Fable 5 était « adapté à un usage général » et doté de mécanismes de sécurité : les requêtes portant sur divers sujets, notamment la cybersécurité, étaient automatiquement redirigées vers le modèle Claude Opus 4.8. Cependant, quelques jours plus tard, la société suspendait l’accès aux modèles Fable 5 et Mythos 5 à la demande des autorités américaines chargées du contrôle des exportations, invoquant des raisons de sécurité nationale.
L'apocalypse des vulnérabilités DeFi
La prolifération de modèles d'IA puissants bouleverse l'équilibre des forces en cybersécurité, et ce, au détriment des défenseurs. Mitchell Amador, responsable de la plateforme de primes aux bogues Immunefi, qualifie la situation d'« apocalypse des vulnérabilités » : les attaquants accèdent désormais à des outils auparavant réservés aux chercheurs en sécurité expérimentés, alimentant une vague de piratages dans le secteur de la finance décentralisée (DeFi).
Les statistiques confirment l'alarme : selon DefiLlama, les pertes dues aux piratages dans le secteur des cryptomonnaies ont atteint 634 millions de dollars en avril, soit le chiffre mensuel le plus élevé depuis le piratage de Bybit, qui avait vu environ 1,4 milliard de dollars dérobés en février 2025.
Les résultats de l'audit de Zcash démontrent que l'IA est capable d'identifier efficacement les vulnérabilités avant qu'elles ne soient exploitées. Parallèlement, la suspension de l'accès à Fable 5 et Mythos 5 à la demande des autorités américaines indique que les organismes de réglementation surveillent de plus près la diffusion des outils d'IA les plus puissants.
L'avis de l'IA
Du point de vue de l'architecture de preuve à divulgation nulle de connaissance, la situation de Zcash soulève une question qui dépasse le cadre de cet incident précis. Le bug a persisté dans la conception de Halo2 pendant quatre ans – et il ne s'agit pas d'une exception, mais bien de la règle : les spécialistes de Veridise identifient des vulnérabilités critiques lors de chaque audit de preuve à divulgation nulle de connaissance. Le problème est systémique : les schémas de contraintes mathématiquement complexes sont difficiles à analyser par un humain, et c'est là que les modèles d'IA acquièrent un avantage structurel sur les auditeurs traditionnels.
La question cruciale soulevée par l'affaire Zcash concerne les vulnérabilités non découvertes. La confidentialité du pool Orchard empêche intrinsèquement tout audit rétrospectif de l'offre de ZEC sur une période de quatre ans. C'est pourquoi Shielded Labs développe une proposition de mécanisme de contrôle pour vérifier l'intégrité de l'offre de cryptomonnaie. La capacité de l'audit par IA à combler cette lacune structurelle reste une question ouverte.