هشدار OpenZeppelin یک زنگ خطر است: هوش مصنوعی روش هک DeFi را تغییر می‌دهد

من چند سالی هست که شاهد تکامل DeFi بوده‌ام؛ از استخرهای نقدینگی ساده گرفته تا این مدل‌های پیچیده که مثل قطعات لگوی مالی به هم وصل شده‌اند. اما هشدار اخیر مدیرعامل OpenZeppelin (که عملاً استاندارد طلایی امنیت قراردادهای هوشمند است) واقعاً روایت بازی را تغییر داد. او در اصل گفت که کل فضای DeFi ناامن است چون ما حالا با ایجنت‌های کدنویسی فوق‌بشریِ AI طرف هستیم. برای هر کسی که می‌پرسد آیا پروتکل‌های دیفای در برابر هوش مصنوعی ایمن هستند، جواب صادقانه این است که دیگر قواعد بازی عوض شده. ما دیگر فقط با هکرهای انسانی نمی‌جنگیم، بلکه با الگوریتم‌هایی طرفیم که می‌توانند یک سوزن در ۱۰ هزار خط کد را در چند ثانیه پیدا کنند. قبلاً در مقاله AI و امنیت کریپتو پیش‌زمینه این بحث را بررسی کرده بودیم.

واقعیت جدید اکسپلویت‌های فوق‌بشری

تا مدت‌ها فکر می‌کردیم اگر یک پروژه توسط یک شرکت معتبر حسابرسی (Audit) شده باشد، یعنی مهر تأیید امنیت گرفته است. من خودم قبلاً فکر می‌کردم اگر پروژه‌ای سه تا آدیت و یک برنامه پاداش برای یافتن باگ (Bug Bounty) داشته باشد، «به اندازه کافی امن» است. اما اکسپلویت StablR و موج اخیر رگ‌پول‌های پیچیده در کره جنوبی نشان می‌دهد که سطح حملات در حال گسترش است.

خطر اینجا فقط این نیست که یک چت‌بات بهتر، یک اسکریپت بنویسد. بحث سر ظهور ایجنت‌های AI است که می‌توانند میلیون‌ها ترکیب تراکنش را شبیه‌سازی کنند تا یک مسیر مبهم و خاص برای خالی کردن خزانه پیدا کنند. ما قبلاً دیدیم که چطور ریسک پیچیدگی DeFi پروتکل‌ها را شکننده می‌کند، اما هوش مصنوعی کاتالیزوری است که این شکنندگی را سریعاً به یک فاجعه تبدیل می‌کند.

چرا پروتکل‌های دیفای در برابر هوش مصنوعی ایمن نیستند؟

اگر دنبال دلیلی می‌گردید که کمتر بترسید، می‌توانید بگویید که AI به کمک «آدم‌های خوب» هم می‌رسد. مواردی بود که AI حفره‌ها را قبل از استقرار کد شناسایی کرد. اما در تجربه من، مهاجم همیشه برنده است. توسعه‌دهنده باید تک‌تک نقاط ورود را ایمن کند، ولی هکر فقط نیاز دارد یک نقطه را پیدا کند.

وقتی AI را با وضعیت فعلی بازار ترکیب کنیم، اوضاع متشنج به نظر می‌رسد. شاخص ترس و طمع روی ۳۷ است که یعنی دقیقاً در محدوده «ترس». ارزش کل بازار حدود ۲.۸۳ تریلیون دلار است، اما داستان اصلی در حجم معاملات است. حجم ۲۴ ساعته نزدیک ۹۶ میلیارد دلار است، اما کارمزدهای شبکه اتریوم به‌طور عجیبی پایین است. این یعنی یک تضاد عجیب؛ پول‌های کلان در صرافی‌ها می‌چرخند اما فعالیت واقعی روی زنجیره (on-chain) در DeFi متوقف شده. این رکود شاید نشانه این باشد که مردم فهمیده‌اند ریسک‌ها حالا بیشتر از پاداش‌هاست. برای ما در ایران که دسترسی به سیستم‌های بانکی جهانی نداریم و DeFi یکی از معدود راه‌های مدیریت سرمایه است، این ریسک‌ها دوچندان می‌شود چون هیچ سیستم حمایتی وجود ندارد.

فاصله بین آدیت و واقعیت

من به اندازه کافی وایت‌پیپر خوانده‌ام که بدانم «آدیت شده» به معنای «غیرقابل هک» نیست. فقط یعنی یک انسان در یک بازه زمانی خاص، آن باگ را ندیده است. AI خسته نمی‌شود، سیمیکولن‌ها را نادیده نمی‌گیرد و «روز بد» ندارد.

به همین دلیل است که من نسبت به پروتکل‌های با سود بالا (High-Yield) خیلی بدبین‌تر شده‌ام. وقتی پروژه‌ای سود ۵۰ درصدی (APY) وعده می‌دهد، دیگر آن را یک معدن طلا نمی‌بینم؛ بلکه آن را یک هدف بزرگ برای یک ایجنت AI می‌بینم. اگر کد پیچیده باشد و پاداش بالا، فقط زمان می‌برد تا یک الگوریتم نقص را پیدا کند.

چطور واقعاً از دارایی‌هایتان محافظت کنید

از آنجایی که نمی‌توانیم به امنیت کامل پروتکل‌ها اعتماد کنیم، تنها راه منطقی این است که ریسک را از پروتکل دور کرده و به دست خودتان برگردانید. من همیشه طرفدار خود-حضانتی (Self-custody) بوده‌ام، اما سطح امنیتی که امروز نیاز دارید خیلی بیشتر از سال ۲۰۱۹ است.

برای هر کسی که مقدار قابل توجهی ETH یا SOL دارد، داشتن یک کیف پول سخت‌افزاری که اجازه دهد دقیقاً ببینید چه چیزی را امضا می‌کنید، ضروری است. اکثر مردم فقط روی دکمه Confirm در پاپ‌آپ متامسک کلیک می‌کنند و این دقیقاً همان جایی است که حملات فیشینگ مبتنی بر AI عمل می‌کنند. من برای این مورد خاص Ledger Stax را ترجیح می‌دهم چون صفحه نمایش E Ink بزرگ دارد و قابلیت Transaction Check داخلی‌اش کمک می‌کند کلاهبرداری‌ها را قبل از امضا تشخیص دهید. قیمت آن با ۳۹۹ دلار گران است، اما خیلی ارزان‌تر از این است که کل پورتفوی شما توسط یک بات دزدیده شود.

نظر نهایی من درباره تهدید AI

نمی‌گویم کلاً از DeFi خارج شوید، اما باید دست از این بردارید که با آن مثل حساب پس‌انداز رفتار کنید. دیفای یک آزمایشگاه پرریسک است. دوران «سرمایه‌گذاری کن و فراموش کن» در یلد فارمینگ تمام شد چون شکارچی‌ها حالا از توسعه‌دهنده‌ها سریع‌ترند.

من آپدیت‌های پروتکل‌ها را در چند ماه آینده زیر نظر خواهم گرفت. اگر تغییر بزرگی به سمت نظارت لحظه‌ای مبتنی بر AI و تایید رسمی (Formal Verification) نبینیم، فکر می‌کنم با مجموعه‌ای از اتفاقات «قوی سیاه» روبرو شویم که ریزش‌های ۲۰۲۲ را شبیه به یک گرم کردن ساده جلوه دهد. تا آن زمان، دارایی‌هایتان را آفلاین نگه دارید و فرض کنید هر پروتکلی که استفاده می‌کنید، حفره‌ای دارد که یک AI قبلاً آن را پیدا کرده است.

اخبار را در صرافی منتخب ما معامله کنید: MEXC