Une IA qui démasque les failles de la blockchain : bienvenue dans le monde de SCONE-bench
Vous vous souvenez de cette sensation quand vous réalisez que votre porte d’entrée est restée ouverte toute la nuit ? C’est un peu ce que vivent les développeurs de smart contracts depuis des années. Sauf que leur « porte ouverte » peut coûter des millions.
Anthropic vient de sortir un outil qui change la donne : SCONE-bench. Un banc d’essai qui utilise l’intelligence artificielle pour dénicher les vulnérabilités cachées dans les contrats intelligents. Et tenez-vous bien : leurs modèles IA ont trouvé des failles qui valent 4,6 millions de dollars dans des contrats déployés cette année.
Pourquoi c’est important (vraiment)
Entre 2020 et 2025, les smart contracts ont perdu plus de 550 millions de dollars à cause de bugs et de portes dérobées. Oui, vous avez bien lu : 550 millions.
Le problème ? Les audits classiques ratent souvent ces failles. Un humain, même excellent, peut passer à côté d’un détail microscopique dans des milliers de lignes de code. Et pendant ce temps, les pirates, eux, cherchent. Jour et nuit.
Anthropic a eu une idée : et si on utilisait l’IA non pas pour attaquer, mais pour simuler les attaques avant qu’elles n’arrivent ? C’est exactement ce que fait SCONE-bench. Un peu comme si vous embauchiez un cambrioleur pour tester vos serrures, sauf que là, c’est légal et que personne ne part avec votre argenterie.
Comment ça marche, concrètement ?
SCONE-bench, c’est un laboratoire de tests ultra-sécurisé. Tout tourne dans un conteneur Docker, ce qui garantit que les résultats sont reproductibles à l’identique. L’environnement simule une blockchain réelle avec un fork, le code source des contrats, et une mission claire : trouver la faille, créer un exploit fonctionnel, et prouver qu’il marche.
Le dataset contient 405 smart contracts qui ont réellement été piratés entre 2020 et 2025, issus d’Ethereum et de BNB Chain. Chaque contrat inclus, a une exploit documentée et vérifiée on-chain. Pas de théorie fumeuse ici : que du concret.
Une mesure en dollars sonnants et trébuchants
Voilà où ça devient intéressant. Au lieu de dire « on a trouvé 50 bugs », SCONE-bench quantifie tout en argent réel. Chaque agent IA démarre avec un million de tokens (ETH ou BNB) et doit faire grimper ce solde d’au moins 0,1 unité pour que l’exploit compte.
Résultat ? On peut dire : « Cette IA a identifié des vulnérabilités pour 550 millions de dollars. » Beaucoup plus parlant qu’un vague « on a trouvé des trucs ».
Les résultats qui font froid dans le dos
Lors des tests sur les 405 contrats du benchmark, dix modèles d’IA différents ont produit des exploits fonctionnels pour 207 contrats (soit 51 %). Ça représente l’équivalent de 550,1 millions de dollars en fonds volés… virtuellement, heureusement.
Le modèle Claude Opus 4.5 d’Anthropic s’en est particulièrement bien sorti : il a exploité à lui seul 17 cas, soit 50 % de l’échantillon, pour environ 4,5 millions de dollars.
Mais le plus impressionnant ? Les contrats piratés après la date limite de connaissance des modèles (mars 2025). L’IA a quand même trouvé 19 vulnérabilités sur 34 contrats testés, valant environ 4,6 millions de dollars. Ça veut dire que ces modèles comprennent assez bien la logique des smart contracts pour identifier des patterns jamais vus auparavant.
Deux failles zéro-day découvertes
En octobre 2025, Anthropic a poussé l’expérience plus loin. Ils ont testé Claude Sonnet 4.5 et GPT-5 contre 2 849 contrats récemment déployés sur Binance Smart Chain, sans vulnérabilités connues.
Résultat ? Deux failles zéro-day entièrement nouvelles, valant 3 694 dollars en exploitation simulée. GPT-5 d’OpenAI a dépensé 3 476 dollars en requêtes API pour y parvenir. Un investissement qui en dit long sur la puissance de calcul nécessaire.
C’est là que ça devient vraiment sérieux : ces modèles ne se contentent pas de répéter ce qu’ils ont appris. Ils inventent de nouvelles méthodes d’attaque.
Qu’est-ce que ça change pour vous ?
Si vous développez des applications blockchain
SCONE-bench vous offre une opportunité en or : tester vos contrats avant de les déployer. Plus besoin d’attendre des audits externes qui coûtent une fortune et prennent des semaines. Vous pouvez intégrer ce benchmark dans votre pipeline de développement et scanner vos contrats en continu.
Ça réduit drastiquement le temps pendant lequel une faille reste cachée. Et dans un monde où chaque seconde compte, c’est un sacré avantage.
Si vous êtes freelance ou consultant en sécurité
Vous pouvez désormais proposer des audits hybrides : IA + expertise humaine. SCONE-bench génère des rapports quantifiés en dollars. Imaginez dire à un client : « Votre contrat présente des failles potentielles pour 150 000 dollars. » Ça parle tout de suite.
Vous devenez un partenaire de sécurisation indispensable, et ça augmente directement votre valeur sur le marché.
Si vous dirigez une PME dans la crypto ou la DeFi
Avant, les outils d’audit de haut niveau étaient réservés aux grosses structures. Aujourd’hui, grâce à SCONE-bench, vous pouvez évaluer votre exposition au risque avant de mobiliser des fonds. Ça améliore directement votre retour sur investissement en évitant les catastrophes post-lancement.
Si vous travaillez dans une agence marketing digital
Vous accompagnez des clients blockchain ? Ajoutez un service de vérification de sécurité IA dans votre offre. Ça vous positionne comme un partenaire de confiance, capable de garantir la viabilité technique des projets. Un levier commercial énorme face à une demande croissante de contrôles techniques rapides et économiques.
Ce qu’il faut retenir
Anthropic a pris une décision surprenante : ils ont décidé de rendre SCONE-bench open-source. L’idée ? Donner aux défenseurs les mêmes outils que les attaquants possèdent probablement déjà. Et imposer un standard communautaire pour mesurer la sécurité.
Bien sûr, tout n’est pas parfait. Les résultats ne reflètent pas la totalité du risque réel : l’analyse se limite à un échantillon de contrats en environnement contrôlé. La blockchain mainnet est bien plus complexe. Et puis, les modèles testés ne sont pas tous à jour avec les dernières techniques de défense.
Mais voilà le point crucial : ces résultats visent avant tout à réveiller les équipes de sécurité, pas à encourager les attaques autonomes. La distinction entre capacité technique et intention malveillante reste essentielle.
Vous voulez en savoir plus ?
Vous hésitez sur la manière d’intégrer l’IA dans votre stratégie de sécurité ? Besoin d’un coup de main pour auditer vos smart contracts ou simplement comprendre comment tout ça fonctionne ? Contactez-nous pour plus d’informations.
Les questions que vous vous posez :
C’est quoi exactement, SCONE-bench ?
Un benchmark reproductible qui évalue la capacité des agents IA à détecter et exploiter les vulnérabilités dans les smart contracts. Il utilise 405 contrats réellement piratés et mesure les résultats en dollars. Tout tourne dans Docker pour garantir la reproductibilité.
Combien de contrats les modèles IA ont-ils réussi à exploiter ?
Les dix modèles testés ont produit des exploits fonctionnels pour 207 contrats sur 405. Ça fait 51 % du benchmark et environ 550 millions de dollars de vulnérabilités simulées. Claude Opus 4.5 a exploité à lui seul 17 cas pour 4,5 millions.
Est-ce accessible aux petites structures ?
Oui. Anthropic prévoit de rendre SCONE-bench open-source. Ça veut dire que les développeurs et entreprises de toutes tailles pourront l’utiliser pour auditer leurs propres contrats avant le déploiement. Plus besoin d’être une multinationale pour sécuriser son code.
Les modèles IA peuvent vraiment découvrir des failles totalement nouvelles ?
Oui, l’expérience d’octobre 2025 l’a confirmé. Les modèles ont identifié deux failles zéro-day dans des contrats sans vulnérabilités connues. Ça démontre une vraie capacité de généralisation et d’apprentissage, pas juste de la régurgitation de données.
