L'allarme di OpenZeppelin è un campanello d'allarme: l'IA sta cambiando il modo in cui DeFi viene hackerata

Ho passato gli ultimi anni a guardare la DeFi evolversi da semplici pool di liquidità a questi mattoncini finanziari incredibilmente complessi e interconnessi. Ma l'ultimo avvertimento del CEO di OpenZeppelin, che in pratica gestisce lo standard d'oro per la sicurezza degli smart contract, segna un vero cambio di rotta. Ha sostanzialmente detto che tutta la DeFi non è sicura perché ora affrontiamo agenti di codifica basati su IA con capacità sovrumane. Per chiunque si chieda se i protocolli DeFi siano sicuri dall'IA, la risposta onesta è che le regole del gioco sono cambiate. Non combattiamo più solo contro hacker umani, ma contro algoritmi che possono trovare un buco grande quanto un ago in diecimila righe di codice in pochi secondi. Avevamo già parlato di IA e sicurezza delle crypto per approfondire l'argomento.

La nuova realtà degli exploit sovrumani

Per molto tempo abbiamo creduto che un audit rigoroso da parte di una società rinomata fosse un sigillo di garanzia. Io stessa pensavo che se un progetto aveva tre audit e un bug bounty, fosse "abbastanza sicuro". Ma l'exploit di StablR e l'ondata recente di rugpull sofisticati in Corea del Sud dimostrano che la superficie di attacco si sta allargando.

Il pericolo qui non è solo un chatbot più bravo a scrivere uno script. È l'emergere di agenti IA che possono simulare milioni di combinazioni di transazioni per trovare un percorso specifico e oscuro per svuotare una tesoreria. Se in precedenza avevamo analizzato come il rischio della complessità DeFi rendesse i protocolli fragili, l'IA è il catalizzatore che trasforma quella fragilità in un disastro immediato.

I protocolli DeFi sono sicuri dall'IA? (e perché non lo sono)

Se cercate un motivo per stare più tranquilli, potreste dire che l'IA aiuta anche i "buoni". Abbiamo visto casi in cui l'IA identifica vulnerabilità prima ancora che il codice venga distribuito. Ma per esperienza, l'attaccante ha sempre il vantaggio. Uno sviluppatore deve mettere in sicurezza ogni singolo punto di ingresso. Un hacker deve trovarne solo uno.

Quando combini l'IA con l'attuale stato del mercato, la situazione sembra tesa. Il Fear & Greed Index è a 37, decisamente in territorio "Fear". La capitalizzazione totale è intorno ai 2,83 trilioni di dollari, ma la vera storia è nei volumi. Vediamo quasi 96 miliardi di dollari di volume nelle 24 ore, eppure le gas fee di Ethereum sono incredibilmente basse. Questo suggerisce un disconnect strano: i grandi capitali girano sugli exchange, ma l'attività DeFi on-chain è ferma. Questa mancanza di movimento potrebbe essere il sintomo di chi ha capito che i rischi superano i premi.

Il divario tra audit e realtà

Ho letto abbastanza whitepaper per sapere che "audited" non significa "inhackable". Significa solo che un essere umano non ha visto il bug in una determinata finestra temporale. L'IA non si stanca, non ignora un punto e virgola e non ha "giornate no".

Ecco perché sono diventata molto più scettica verso i protocolli ad alto rendimento. Quando vedo un progetto che promette un APY del 50%, non vedo più una miniera d'oro. Vedo un bersaglio enorme per un agente IA. Se il codice è complesso e il premio è alto, è solo questione di tempo prima che un algoritmo trovi la falla.

Come proteggere davvero i propri asset

Visto che non possiamo fidarci della sicurezza perfetta dei protocolli, l'unica mossa logica è spostare il rischio dal protocollo a noi stessi. Ho sempre sostenuto l'auto-custodia, ma il livello di sicurezza necessario oggi è più alto rispetto al 2019.

Per chi detiene quantità significative di ETH o SOL, serve un hardware signer che permetta di vedere effettivamente cosa si sta firmando. Molti cliccano a caso "Conferma" su un popup di MetaMask, ed è esattamente così che funzionano la maggior parte degli attacchi di phishing guidati dall'IA. Io preferisco il Ledger Stax proprio per questo, perché ha un grande touchscreen E Ink e una funzione di controllo delle transazioni integrata per rilevare le truffe prima della firma. Costa 399 dollari, è caro, ma è molto più economico che perdere l'intero portafoglio a causa di un bot.

La mia opinione finale sulla minaccia dell'IA

Non dico di abbandonare completamente la DeFi, ma dovete smettere di trattarla come un conto deposito. È un laboratorio ad alto rischio. L'era del yield farming "imposta e dimentica" è finita perché i predatori ora sono più veloci degli sviluppatori.

Seguirò da vicino gli aggiornamenti dei protocolli nei prossimi mesi. Se non vedremo un passaggio massiccio verso il monitoraggio in tempo reale guidato dall'IA e la verifica formale, credo che assisteremo a una serie di eventi "cigno nero" che faranno sembrare i crash del 2022 solo un riscaldamento. Fino ad allora, tenete i vostri asset offline e presumete che ogni protocollo che usate abbia un buco che un'IA ha già trovato.

Opera le news sullo exchange scelto dalla nostra redazione: MEXC