Malgré le lancement d’innombrables exercices de branding comportant le mot « décentralisation », une grande partie de l’industrie de la cryptographie utilise en fait Cloudflare pour défendre de grandes parties de son infrastructure destinée aux utilisateurs.
En effet, Cloudflare protège les sites Web de cryptographie qui traitent collectivement des milliards de dollars de transactions et reçoivent quotidiennement des millions de visiteurs. Cependant, cette semaine, Crypto a appris que les agents d’IA autonomes peuvent apparemment utiliser une bibliothèque open source pour parcourir plusieurs lignes de défense de Cloudflare.
La plupart ont entendu parler de la vulnérabilité dans un titre sur OpenClaw, un agent IA qui s’exécute sur un Mac Mini ou un serveur cloud.
OpenClaws, anciennement connu sous le nom de ClawdBots ou MoltBots, peut désormais utiliser une bibliothèque gratuite appelée Scrapling pour « contourner Cloudflare de manière native ».
« Scrapez n’importe quel site Web sans être bloqué, sans aucune détection de robot » le développeur a écrit dans un bref texte de présentation sur Github avant de publier le code dans la nature.
Il s’est rapidement hissé au premier rang des tendances parmi les référentiels Github.
L’ère des agents IA de fabrication artisanale est arrivée
Bénéficiant de robots d’exploration multi-sessions simultanés avec des actions de démarrage/arrêt réalistes et des adresses IP proxy, la bibliothèque Python permet aux agents d’IA comme OpenClaw et d’autres de contourner « tous les types de tourniquets et d’interstitiels de Cloudflare ».
De plus, ses propres critères de référence revendiquent 600 fois la vitesse d’analyse de BeautifulSoup, un robot d’exploration Web autrefois impressionnant.
L’ère des agents d’IA faits maison est arrivée, et l’armure traditionnelle utilisée par la cryptographie pour protéger ses sites Web contre les robots d’exploration, les araignées, les attaques par déni de service (DoS) et les pirates informatiques de tous types commence à se fissurer.
Grâce à l’utilisation d’un comportement imitant l’humain et à l’adaptation de l’IA, un agent OpenClaw peut tromper des formes sophistiquées de détection de robots. Ce qui est encore plus dévastateur, c’est qu’il peut fonctionner avec du matériel de base et effectuer des attaques à la volée pour quelques centimes.
DeFi continue de s’appuyer sur Cloudflare tout en perdant des millions
La finance décentralisée (DeFi) a déjà appris – à plusieurs reprises et à grands frais – ce qui se passe lorsque ses frontaux dépendants de Cloudflare échouent.
Bien qu’il n’ait pas de similitude 1:1 avec les capacités de Scrapling, l’exemple le plus évident de la dépendance de la cryptographie à Cloudflare reste BadgerDAO.
En décembre 2021, un attaquant a compromis une clé API Cloudflare Workers.
L’attaquant a utilisé cette clé pour injecter un script malveillant dans le front-end de BadgerDAO, incitant les utilisateurs à signer l’approbation des jetons. Il s’est vidé 130 millions de dollars.
Prenons un autre exemple. Curve Finance a subi des détournements du système de noms de domaine (DNS) en août 2022 et à nouveau en mai 2025.
À chaque fois, les attaquants ont accédé à son bureau d’enregistrement et redirigé le trafic des serveurs de noms de Cloudflare vers des clones malveillants.
L’attaque de 2022 a coûté plus de 500 000 dollars aux utilisateurs. L’attaque de 2025 a contraint Curve à abandonner complètement son TLD « .fi » et à migrer vers Curve.finance.
Le phénomène n’a fait que s’accélérer. En juillet 2024, une seule attaque DNS sur Squarespace a mis en danger 228 sites Web du protocole DeFi, dont Compound et Celer Network.
Aerodrome Finance, un échange décentralisé (DEX) sur le réseau Base de Coinbase, a perdu plus d’un million de dollars lors d’un détournement DNS en novembre 2025. OpenEden a divulgué une compromission DNS le 16 février 2026. Curvance a détecté et bloqué une attaque frontale le même jour.
Chacune de ces attaques a exploité l’écart entre les contrats intelligents décentralisés et l’infrastructure Web centralisée que les utilisateurs touchent réellement : enregistrements DNS, scripts de réseau de diffusion de contenu (CDN) et configurations Cloudflare.
Bien que Scrapling soit trop nouveau pour se vanter d’avoir fait l’objet de piratages cryptographiques à ce jour, il pourrait malheureusement y avoir des victimes dans les prochains jours. Son objectif principal est de récupérer et de télécharger du contenu, pas de pirater Defi, bien sûr. Espérons que les développeurs et les utilisateurs d’OpenClaw l’utilisent aux fins légales et prévues.
Scrapling abaisse le bouclier Cloudflare
Le modèle de défense traditionnel supposait que la détection des robots, les empreintes digitales et les défis Turnstile de Cloudflare pouvaient empêcher le trafic automatisé d’entrer. Scrapling brise certaines de ces hypothèses grâce à l’IA.
Son développeur décrit, dans un langage probablement que seuls les développeurs comprennent, l’empaquetage de l’usurpation d’empreintes digitales TLS, l’évitement de la détection sans tête, la génération de bruit Canvas et l’atténuation des fuites WebRTC dans une bibliothèque composable.
Une analyse tierce a noté que la percée fondamentale « n’était pas une simple nouvelle astuce ». Il s’agissait plutôt de combiner plusieurs compétences en IA pour tromper les services de cybersécurité.
La propre documentation de Cloudflare avertit les développeurs de « ne jamais faire confiance uniquement à la validation côté client ». Malheureusement, de nombreuses interfaces DeFi considèrent les widgets de défi Cloudflare comme suffisants, laissant des portes dérobées ouvertes aux outils capables de simuler un défi réussi du côté client.
L’industrie de la cryptographie a passé cinq ans et des centaines de millions de pertes d’utilisateurs à apprendre que Cloudflare est un ralentisseur, pas un mur. Scrapling vient d’utiliser l’IA pour sauter à nouveau.
