Avertizarea OpenZeppelin e un semnal clar: AI-ul schimbă modul în care DeFi este hackuit

Am petrecut ultimii ani urmărind cum DeFi a evoluat de la simple pool-uri de lichiditate la aceste „piese de Lego” financiare incredibil de complexe și interconectate. Dar avertizarea recentă a CEO-ului de la OpenZeppelin, care practic stabilește standardul de aur pentru securitatea contractelor inteligente, este o schimbare reală de paradigmă. Practic, a spus că tot DeFi-ul este nesigur pentru că ne confruntăm acum cu agenți de codare AI cu abilități supraumane. Pentru cineva care se întreabă dacă protocoalele defi sunt sigure în fața AI, răspunsul sincer este că regulile jocului s-au schimbat. Nu ne mai luptăm doar cu hackeri umani, ci cu algoritmi care pot găsi o gaură minusculă în zece mii de linii de cod în câteva secunde. Am mai discutat anterior despre AI și siguranța crypto pentru mai mult context.

Noua realitate a exploit-urilor supraumane

Mult timp am crezut că un audit riguros de la o firmă cu reputație este o garanție a siguranței. Eu credeam că dacă un proiect are trei audituri și un program de bug bounty, este „destul de sigur”. Dar exploit-ul StablR și valul recent de rugpull-uri sofisticate din Coreea de Sud arată că suprafața de atac se extinde.

Pericolul aici nu este doar un chatbot mai bun care scrie un script. Este apariția agenților AI care pot simula milioane de combinații de tranzacții pentru a găsi o rută specifică și obscură de a goli o trezorerie. În timp ce am analizat anterior cum riscul complexității DeFi a făcut protocoalele fragile, AI-ul este catalizatorul care transformă acea fragilitate într-un dezastru imediat.

De ce protocoalele defi sunt sigure în fața AI (sau de ce nu sunt)

Dacă cauți un motiv să te simți mai bine, poți argumenta că AI-ul îi ajută și pe „cei buni”. Am văzut cazuri în care AI identifică vulnerabilitățile înainte ca codul să fie implementat. Dar, în experiența mea, atacatorul are întotdeauna avantajul. Un dezvoltator trebuie să securizeze fiecare punct de intrare. Un hacker trebuie doar să găsească unul singur.

Când combini AI-ul cu starea actuală a pieței, lucrurile par tensionate. Indexul Fear & Greed este la 37, deci suntem clar în zona de „Fear”. Capitalizarea totală este în jur de 2,83 trilioane de dolari, dar povestea reală este la volum. Vedem aproape 96 miliarde de dolari în volum pe 24h, însă taxele de gas pe Ethereum sunt incredibil de mici. Asta sugerează o deconectare ciudată: banii mari se învârt pe exchange-uri, dar activitatea DeFi on-chain stagnează. Lipsa de activitate ar putea fi un simptom al faptului că oamenii realizează că riscurile depășesc recompensele.

Prăpastia dintre audituri și realitate

Am citit destule whitepaper-uri ca să știu că „auditat” nu înseamnă „imposibil de hackuit”. Înseamnă doar că un om nu a văzut bug-ul într-o anumită fereastră de timp. AI-ul nu obosește, nu ratează o punct și virgulă și nu are „zile mai proaste”.

De aceea devin mult mai sceptică față de protocoalele cu randamente exagerate. Când văd un proiect care promite un APY de 50%, nu mai văd o mină de aur. Văd o țintă uriașă pentru un agent AI. Dacă codul este complex și recompensa este mare, e doar o chestiune de timp până când un algoritm găsește falla.

Cum să îți protejezi efectiv activele

Deoarece nu putem avea încredere ca protocoalele să fie perfect sigure, singura mișcare logică este să muți riscul de la protocol înapoi către tine. Am fost mereu susținătoare a self-custody, dar nivelul de securitate necesar acum este mai ridicat decât era în 2019.

Pentru oricine deține o sumă semnificativă de ETH sau SOL, ai nevoie de un hardware signer care să îți permită să vezi efectiv ce semnezi. Majoritatea oamenilor doar dau „Confirm” pe un popup de MetaMask, iar așa funcționează majoritatea atacurilor de phishing bazate pe AI. Eu prefer Ledger Stax tocmai pentru că are un ecran tactil E Ink mare și o funcție de Transaction Check integrată pentru a detecta scam-urile înainte de semnătură. Costă 399 dolari, ceea ce e destul de mult, dar e mult mai ieftin decât să îți pierzi tot portofoliul în favoarea unui bot.

Concluzia mea despre amenințarea AI

Nu spun că trebuie să părăsești complet DeFi, dar trebuie să încetezi să îl tratezi ca pe un cont de economisire. Este un laborator cu risc ridicat. Era „set it and forget it” pentru yield farming s-a terminat pentru că prădătorii sunt acum mai rapizi decât dezvoltatorii.

Voi urmări îndeaproape actualizările protocoalelor în următoarele luni. Dacă nu vedem o schimbare masivă către monitorizare în timp real bazată pe AI și verificare formală, cred că vom avea o serie de evenimente „black swan” care vor face prăbușirile din 2022 să pară o încălzire. Până atunci, ține-ți activele offline și presupune că orice protocol pe care îl folosești are o gaură pe care un AI a găsit-o deja.

Tranzacționează știrile pe exchange-ul recomandat de echipa noastră editorială: MEXC