Az OpenZeppelin figyelmeztetése ébresztőrajong: az AI átírja a DeFi hackelések szabályait

Az utóbé években azt néztem, hogy a DeFi egyszerű likviditási poolokból ezekkel a hihetetlenül komplex, egymásba csatlakozó pénzügyi "legókockákká" fejlődött. De az OpenZeppelin vezérigazgatójának legutóbbi figyelmeztetése – akik alapvetően a smart contract biztonságának aranystandardját képviselik – egy valódi paradigmaváltás. Alapvetően azt mondta, hogy a DeFi egészelessé vált, mert most már szuperhumán AI kódoló ügynökökkel szemben állunk. Aki azon aggódik, hogy biztonságosak-e a defi protokollok az AI ellen, annak az őszinte válasza az, hogy a szabályok újraíródtak. Nem csak emberi hackerekkel küzdünk, hanem olyan algoritmusokkal, amelyek képesek másodpercek alatt egy tűszálnyi réseket keresni tízezer sornyi kód között. Korábban már érintettük az AI és a kripto biztonság témáját, ha több háttérinformációra van szükséged.

A szuperhumán exploitok új realitása

Hosszú ideig azt hittük, hogy egy neves cégnéltőltött alapos audit egyfajta biztonsági pecsét. Én is azt hittem, ha egy projektnek három audite és egy bug bounty programja van, akkor "elég biztonságos". De a StablR exploit és a mostanáig Dél-Koreában tapasztalt kifinomult rugpullok hulláma megmutatja, hogy a támadási felület folyamatosan nő.

Itt a veszély nem egyszerűen egy jobb chatbot, ami egy scriptet ír. Az a baj, hogy megjelennek az olyan AI ügynökök, amelyek milliók számát a tranzakciós kombinációkat szimulálják, hogy megtalálják azt az egyetlen, rejtett utat, amivel kiüríthetik a kincset. Bár korábban már beszéltünk arról, hogy a DeFi komplexitási kockázat mennyire törékennyé teszi a protokollokat, az AI most az a katalizátor, ami ezt a törékenységet azonnali katasztrófává alakítja.

Biztonságosak-e a defi protokollok az AI ellen (vagy miért nem)

Ha egy okot keresel, hogy jobban érezd magad, mondhatod, hogy az AI a "jóaknak" is segít. Volt már olyan eset, hogy az AI még a kód deployálása előtt Certaines hibákat kiszúrta. De én úgy gondolom, hogy a támadó mindig előnyben van. A fejlesztőnek minden egyes bejutási útvonalat le kell zárnia. A hackernek csak egyetlen résere van szüksége.

Ha ezt az AI-hatást összekapcsoljuk a jelenlegi piaci helyzettel, a kép elég feszült. A Fear & Greed Index 37-ön áll, ami határozottan a "Fear" (félelem) zónában van. A teljes piaci értékeség körülbelül 2,83 billió dollár, de a valódi történet a volumennél rejlik. Majdnem 96 milliárd dollár a 24 órás volumen, mégis az Ethereum gázdíjak hiúlán alacsonyak. Ez egy furcsa ellentmondást jelez: a nagy pénz a tőzsdéken pörög, de a valódi on-chain DeFi aktivitás stagnál. Ez a kevés aktivitás lehetne annak jele, hogy az emberek kezdenek rájönni: a kockázatok már nagyobbak, mint a profitlehetőségek.

Az auditok és a valóság közötti szakadék

Kevés whitepapert nem olvastam már, hogy tudjam: az "auditált" nem jelenti azt, hogy "lehackelhetetlen". Csak azt jelenti, hogy egy ember nem látta a hibát egy adott időablakban. Az AI nem fárad meg, nem hagyja ki egy vesszőt, és nincsenek rossz napjai.

Ezért egyre szkeptikusabbá váltam a magas hozamú protokollokkal szemben. Ha egy projekt 50%-os APY-t ígér, már nem egy aranybányát látok. Egy óriási célpontot látok egy AI ügynök számára. Ha a kód komplex és a jutalom magas, csak idő kérgése, hogy egy algoritmus megtalálja a hibát.

Hogyan védjük meg a vagyonunkat ténylegesen

Mivel nem bízhatunk benne, hogy a protokollok tökéletesen biztonságosak, az egyetlen logikus lépés, hogy a kockázatot levessük a protokollról és visszavegyük magunk kezébe. Mindig támogattam az önálló tárolást (self-custody), de a mostanra szükséges biztonsági szint sokkal magasabb, mint 2019-ben volt.

Kinek jelentős ETH vagy SOL összege van, szüksége van egy olyan hardveres aláíróra, amivel ténylegesen látni lehet, mit ír alá. A legtöbb ember csak vakon kattint a "Confirm" gombra a MetaMask popupban, és pont így működnek a legtöbb AI-vezérelt phishing támadás. Én kifejezetten a Ledger Stax eszközt preferálom, mert nagy E Ink érintőképernyője van és beépített Transaction Check funkciója, amivel a csalásokat még az aláírás előtt kiszűri. Drága, 399 dollár, de sokkal olcsóbb, mint ha egy bot miatt elveszíted az egész portfóliód.

Végső véleményem az AI fenyegetésről

Nem azt mondom, hogy teljesen hagyd el a DeFi-t, de abnormalityt kell abbahagynod, hogy úgy kezelned, mint egy takarékosszámlát. Ez egy nagy kockázattal teli laboratórium. A "tegyed el és felejtsd" típusú yield farming ideje lejárt, mert a ragadozók most már gyorsabbak, mint a fejlesztők.

Körenzményen fogom követni a következő hónapok protokoll-frissítéseit. Ha nem látunk egy hatalmas váltást az AI-vezérelt, valós idejű monitoring és formális verifikáció irányába, akkor szerintem egy sor olyan "fekete ciszvan" eseményt będíszünk, amivel a 2022-es összeomlások csak bemelegítésnek tűnnek majd. Addig pedig tartsd offline az eszközeidet, és feltételezd, hogy minden protokollban, amit használsz, van egy olyan lyuk, amit egy AI már megtalált.

Kereskedj a híreken a szerkesztőségünk által ajánlott tőzsdén: MEXC