Manuel Aráoz, co-fondateur et ex-CTO d'OpenZeppelin, a déclaré le 26 mai que l'ensemble du DeFi est non sécurisé, conseillant à ses proches de liquider toutes leurs positions, y compris sur des protocoles établis comme Aave, MakerDAO et Compound. La publication a enflammé X en quelques heures, et la réponse du secteur a été immédiate.
La thèse: les agents IA ont rompu l'équilibre
Le raisonnement d'Aráoz repose sur une asymétrie connue de tout spécialiste en cybersécurité. Les défenseurs doivent colmater chaque faille. Les attaquants n'ont besoin d'en trouver qu'une seule. Quand la chasse aux bugs dépendait d'équipes humaines, la course restait gérable. Les agents IA de codage scannent aujourd'hui des milliers de smart contracts en parallèle, sans interruption, à une vitesse qu'aucun audit manuel ne peut soutenir. Ce n'est pas une hypothèse théorique. Un rapport des Anthropic Fellows, relayé par SpazioCrypto, a simulé des exploits pour 4,6 millions de dollars sur des contrats que les modèles n'avaient jamais analysés. Lorsqu'une IA détecte une faille qu'elle ne connaissait pas, cette faille était bien réelle.
L'alerte a été publiée sur X dans un post devenu viral le 26 mai 2026. Lire le post de Manuel Aráoz (@maraoz), 26 mai 2026.
L'antithèse: «une chose idiote à dire»
Concrètement, marc Zeller, fondateur de l'Aave Chan Initiative, n'a pas fait dans la dentelle. Il a qualifié le post d'Aráoz d'absurde, en s'appuyant sur les données disponibles. Selon Zeller, moins de 10% des pertes DeFi de l'année écoulée provenaient de bugs dans le code. Le reste est lié à des paramètres de risque mal configurés, une mauvaise gestion du collatéral et une sécurité opérationnelle défaillante. Le problème, plaide-t-il, réside rarement dans le smart contract lui-même: c'est celui qui détient les clés, celui qui fixe les limites, celui qui gère les accès.
OpenZeppelin a pris ses distances avec les conclusions d'Aráoz, en rappelant que les pertes de 2025 ont dépassé 3,4 milliards de dollars selon l'analyse interne de la société, et que la grande majorité est attribuable à des identifiants compromis plutôt qu'à des failles dans les contrats. La société a lancé Skills, un système donnant aux agents IA une connaissance authoritative des bibliothèques déjà auditées, pour déplacer la défense en amont du cycle de développement.
DeFi, TVL total 2026 (milliards de dollars)
Source: DefiLlama · mai 2026
Source: DefiLlama · mai 2026
Le DeFi vaut-il encore le risque en 2026?
La réponse honnête se situe entre les deux positions, et les chiffres éclairent le débat. Sur les 365 derniers jours, les piratages DeFi ont englouti plus de 1,1 milliard de dollars selon DefiLlama. Le seul mois d'avril 2026 a vu près de 630 millions de dollars disparaître dans au moins 27 exploits distincts, le pire mois depuis l'incident Bybit. La plus grosse attaque est celle visant le bridge de Kelp DAO: 292 millions de dollars, attribuée au groupe nord-coréen Lazarus. Drift a subi 285 millions de pertes, et Step Finance a clôturé le mois avec une brèche de 27 millions.
La valeur totale verrouillée dans les protocoles DeFi est passée d'environ 172 milliards de dollars en janvier à 148 milliards en mai 2026, toujours selon DefiLlama. Pour les investisseurs français soumis au prélèvement forfaitaire unique de 30%, ces pertes ne sont pas déductibles des gains imposables: une raison supplémentaire de calibrer son exposition avec soin. La règle empirique demeure: les protocoles dotés d'un historique solide comme Aave justifient leur prime de risque, tandis que les nouvelles plateformes à rendements élevés exposent à des pertes potentiellement totales.
CHIFFRES CLÉS
Pertes DeFi (365 derniers jours)... plus de 1,1 milliard $
Pertes avril 2026 seul............ environ 630 millions $
Exploits en avril 2026............ au moins 27
Hack Kelp DAO (18 avril).......... 292 millions $
Variation TVL jan-mai 2026........ de 172 à 148 milliards $
Part des pertes due aux bugs...... moins de 10% (source Zeller)
Source: DefiLlama, Aave Chan Initiative · mai 2026
Une observation replace l'ensemble du débat en perspective. Même si Zeller a raison et que les bugs de code ne représentent que moins de 10% des pertes, les agents IA font basculer précisément ce segment technique du côté des attaquants. Aráoz exagère peut-être sa conclusion tout en ayant raison sur la direction. Les analystes spécialisés en sécurité DeFi convergent vers trois exigences concrètes: surveillance on-chain en temps réel avec coupure automatique, vérification formelle à grande échelle, et gouvernance capable de répondre à un exploit en minutes et non en heures. Tant que ces mécanismes ne sont pas généralisés, le risque n'est pas un accident. C'est une caractéristique structurelle.
