Le 26 mai 2026, Manuel Aráoz, cofondateur d'OpenZeppelin, a déclaré « toute la DeFi » dangereuse. Cet avertissement fait suite au pire mois de piratage depuis février 2025.

Create a landscape editorial hero image for this Studio Global article: What prompted OpenZeppelin co-founder Manuel Aráoz to declare "all of DeFi" unsafe, what specific incidents and evidence supported his warni. Article summary: On **May 26, 2026**, OpenZeppelin co-founder Manuel Aráoz posted on X that he now considers **"all of DeFi" unsafe** and advised friends and family to withdraw all funds, including from blue-chip protocols like Aave, Mak. Topic tags: general, general web, news, user generated. Reference image context from search candidates: Reference image 1: visual subject "A circular diagram highlights the core principles of OpenZeppelin AI, Standards & Expertise, emphasizing phases like architecting, building, supporting, and securing, with specific" Reference image 2: visual subject "OpenZeppelin Founder Warns: DeFi Is Unsafe" source context "DeFi Is Unsafe Says OpenZeppeli
Le 26 mai 2026, le cofondateur de la société de sécurité la plus réputée de l'industrie crypto a livré un verdict qui a provoqué une onde de choc dans l'univers de la finance décentralisée (DeFi). Manuel Aráoz, qui a fait d'OpenZeppelin la référence absolue en matière d'audit de smart contracts, a publié sur X un message sans appel : il considère désormais que toute la DeFi est dangereuse. Il a même révélé qu'il conseillait en privé à ses proches de retirer leurs fonds, y compris de protocoles jugés jusque-là comme des valeurs refuges, tels qu'Aave, MakerDAO et Compound .
Cet avertissement n'est pas une vue de l'esprit. Il s'ancre dans une réalité brutale : le mois d'avril 2026 venait de devenir le pire mois pour les piratages DeFi depuis plus d'un an, les assaillants exploitant un paysage de menaces entièrement nouveau .
L'argument d'Aráoz est d'une simplicité déconcertante, et d'autant plus alarmant. La sécurité des smart contracts a toujours été asymétrique, mais l'intelligence artificielle a transformé cette asymétrie en un véritable piège. Les défenseurs doivent identifier et corriger chaque faille dans le code, l'infrastructure et la gouvernance d'un protocole. Les attaquants, armés d'agents d'IA, n'ont besoin de trouver qu'un seul chemin exploitable .
« Les agents de codage sont surhumains pour trouver des vulnérabilités », a écrit Aráoz. « La sécurité des smart contracts est trop asymétrique : les défenseurs doivent corriger chaque bug, tandis que les attaquants n'ont besoin que d'une seule faille pour voler des fonds » .
Il ne s'agit pas d'un bug qu'un meilleur audit pourrait résoudre. C'est une caractéristique structurelle de la manière dont les attaques assistées par IA fonctionnent désormais. Les défenses traditionnelles — transparence du code open source, audits multiples et indépendants, vérification formelle — ont été conçues pour une époque où des attaquants humains faisaient face à des défenseurs humains sur un pied d'égalité. L'IA change radicalement cette équation .
L'avertissement d'Aráoz n'est pas tombé du ciel. Avril 2026 a été marqué par une cascade d'attaques qui ont collectivement drainé entre 630 et 647 millions de dollars des protocoles DeFi, répartis sur plus de 25 incidents distincts. Il s'agit du total mensuel le plus élevé depuis février 2025, où les pertes avaient atteint 1,47 milliard de dollars .
Drift Protocol — 285 millions de dollars (1er avril)
Le mois s'est ouvert sur une campagne d'ingénierie sociale sophistiquée attribuée au groupe nord-coréen Lazarus. Les assaillants ont passé environ six mois à cultiver la confiance des membres du Conseil de Sécurité de Drift, parvenant finalement à les piéger pour qu'ils pré-signent des transactions leur accordant un accès privilégié. Une fois à l'intérieur, ils ont déposé un faux token en garantie et vidé le DEX basé sur Solana d'environ 285 millions de dollars — en à peine 10 secondes .
Il ne s'agissait pas d'un bug de smart contract, mais de la compromission humaine d'une structure de gouvernance.
KelpDAO — 293 millions de dollars (18 avril)
Le plus grand piratage DeFi de 2026 a frappé le pont cross-chain de KelpDAO, utilisant le protocole LayerZero. Un attaquant a créé 116 500 rsETH — d'une valeur d'environ 293 millions de dollars — et les a utilisés comme garantie pour emprunter de véritables ETH, ensuite blanchis via THORChain . La société d'analyse Chainalysis a déterminé par la suite que l'attaque avait exposé des faiblesses dans la vérification hors chaîne plutôt qu'une défaillance classique de smart contract
.
En l'espace de 48 heures, les utilisateurs paniqués ont déclenché une cascade de retraits, effaçant des milliards de la valeur totale bloquée (TVL) de la DeFi. Aave, le plus grand protocole de prêt, a immédiatement gelé ses marchés de rsETH sur plusieurs de ses versions .
Wasabi — compromission de clé administrateur (avril)
Un troisième incident majeur en avril a visé Wasabi, impliquant une clé administrateur compromise qui a déclenché un effet domino sur l'ensemble du protocole. Avec Drift et KelpDAO, ces trois attaques représentent trois catégories distinctes de « défaillances non liées au code » : ingénierie sociale, faiblesses de vérification hors chaîne et compromission d'infrastructure .
Les analystes de sécurité notent que les classes de vulnérabilités ayant causé des pertes en 2026 — défaillances de contrôle d'accès, failles de mise à niveau des contrats proxy, attaques de ponts cross-chain — sont des vecteurs d'attaque qui existaient à peine en 2020 .
Les chiffres sont éloquents. La valeur totale bloquée (TVL) de la DeFi a chuté de plus de 50 % par rapport à son pic d'octobre 2025, passant d'environ 170 milliards de dollars à environ 38 à 43 milliards de dollars à la mi-mai 2026 — la pire contraction depuis le crash de la plateforme FTX . Un autre agrégateur de données situait la TVL à 82,08 milliards de dollars fin mai, un chiffre qui reflète à la fois la compression des prix des actifs et de véritables retraits de capitaux
.
L'avertissement d'Aráoz du 26 mai a provoqué une nouvelle vague de retraits de la part d'investisseurs particuliers et institutionnels inquiets qui s'accrochaient à l'espoir que les protocoles établis restaient sûrs. La réalité est que même les protocoles qu'OpenZeppelin avait contribué à sécuriser depuis 2015 — Aave, MakerDAO et Compound — étaient désormais jugés dangereux par l'expert en sécurité qui connaît le mieux leur code .
Face à une crise existentielle, l'industrie de la DeFi a monté l'une des ripostes les plus coordonnées de son histoire.
Le fonds de sauvetage DeFi United. Menée par Aave, une coalition de plus de 30 protocoles et entreprises — dont Mantle, Consensys, Lido, EtherFi et Compound — a promis plus de 300 millions de dollars en Ether pour couvrir les créances irrécouvrables et restaurer la garantie du rsETH après le piratage de KelpDAO . L'initiative a recueilli des engagements dépassant les 43 500 ETH, Mantle proposant à lui seul de prêter jusqu'à 30 000 ETH à la DAO d'Aave
. La banque Standard Chartered a publiquement salué cet effort comme une preuve de maturation de l'écosystème
.
L'intervention sans précédent d'Arbitrum. Le Conseil de Sécurité d'Arbitrum, une solution de Layer 2 sur Ethereum, a pris la décision controversée de geler et de déplacer environ 30 766 ETH de fonds traçables issus de l'attaque de KelpDAO — sans disposer des clés privées des attaquants. Il s'agit de l'une des interventions on-chain les plus musclées jamais réalisées par un réseau de Layer 2 .
Arrêts d'urgence des protocoles. KelpDAO a suspendu tous ses contrats sur le réseau principal (mainnet) et les Layer 2 dans les heures qui ont suivi la détection de la brèche. Aave a gelé ses marchés de rsETH sur ses versions V3 et V4 pour prévenir des liquidations en cascade .
La pression réglementaire s'intensifie. Les régulateurs financiers de l'Union européenne ont commencé à élaborer des exigences de licence d'urgence pour les protocoles DeFi, tandis que le Trésor américain a fait savoir qu'il renforcerait la surveillance des protocoles gérant plus de 50 millions de dollars d'actifs d'utilisateurs .
Le plan de sauvetage de Drift Protocol. Tether a annoncé un engagement de 127,5 millions de dollars pour financer un fonds de récupération indexé sur les revenus futurs pour les utilisateurs de Drift, ce qui représente l'un des plus grands plans de sauvetage de l'histoire de la DeFi par un émetteur de stablecoin .
Malgré ces efforts extraordinaires, l'argument central reste sans réponse. L'avertissement d'Aráoz ne porte pas sur un pic temporaire d'exploits ou sur quelques protocoles nécessitant de meilleurs audits. Il s'agit d'un diagnostic structurel : les attaquants dopés à l'IA ont modifié de manière permanente l'équation de la sécurité, et le secteur n'a pas encore démontré de parade défensive comparable .
Les protocoles qui ont survécu à avril 2026 opèrent désormais dans un monde où l'ingénierie sociale peut drainer 285 millions de dollars en quelques secondes, où les vérificateurs de ponts peuvent être usurpés pour créer 293 millions de dollars de fausses garanties, et où des agents d'IA peuvent scruter les vulnérabilités plus vite qu'aucune équipe d'audit humain ne peut les corriger. Tant que cette asymétrie ne sera pas traitée à un niveau fondamental — par l'architecture, la refonte de la gouvernance et des défenses également pilotées par l'IA — l'avertissement d'Aráoz restera d'actualité.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Le 26 mai 2026, Manuel Aráoz, cofondateur d'OpenZeppelin, a déclaré « toute la DeFi » dangereuse.
Le 26 mai 2026, Manuel Aráoz, cofondateur d'OpenZeppelin, a déclaré « toute la DeFi » dangereuse. Cet avertissement fait suite au pire mois de piratage depuis février 2025. En avril 2026, plus de 630 millions de dollars ont été dérobés lors de plus de 25 incidents, dont une attaque à 293 M$ contre le pont cross ch...
La valeur totale bloquée (TVL) dans la DeFi a chuté de plus de 50 % depuis son pic d'octobre 2025, passant d'environ 170 milliards de dollars à près de 38 43 milliards mi mai 2026.