Varningen från OpenZeppelin är ett väckarklock: AI förändrar hur DeFi hackas

Jag har tillbringat de senaste åren med att se DeFi utvecklas från enkla likviditetspooler till dessa otroligt komplexa, sammankopplade "legobitar" av finans. Men den senaste varningen från VD:n på OpenZeppelin, som i princip sätter guldstandarden för säkerhet i smarta kontrakt, är ett rejält skifte i narrativet. Han sa i princip att hela DeFi är osäkert eftersom vi nu möter supermänskliga AI-kodningsagenter. För alla som undrar är defi-protokoll säkra från ai, är det ärliga svaret att målstolparna precis flyttades. Vi slåss inte längre bara mot mänskliga hackare, utan mot algoritmer som kan hitta ett nålsöga i tio tusen rader kod på några sekunder. Vi skrev tidigare om AI och kryptosäkerhet för mer bakgrund.

Den nya verkligheten med supermänskliga exploateringar

Under lång tid trodde vi att en grundlig granskning från en ansedd firma var ett kvitto på säkerhet. Jag trodde förr att om ett projekt hade tre audits och ett bug bounty-program, så var det "säkert nog". Men StablR-exploateringen och den senaste vågen av sofistikerade rugpulls i Sydkorea visar att attackytan växer.

Faran här är inte bara en bättre chatbot som skriver ett skript. Det handlar om framväxten av AI-agenter som kan simulera miljontals transaktionskombinationer för att hitta en specifik, okänd väg för att tömma en treasury. Medan vi tidigare täckte hur DeFi-komplexitetsrisker gjorde protokoll sköra, är AI katalysatorn som förvandlar den skörheten till en omedelbar katastrof.

Varför är defi-protokoll säkra från ai (eller varför är de inte det)

Om du letar efter en anledning att känna dig lugnare kan man argumentera för att AI också hjälper "de goda". Vi har sett fall där AI identifierar sårbarheter innan koden ens driftsätts. Men i min erfarenhet har angriparen alltid övertaget. En utvecklare måste säkra varje enda ingång. En hackare behöver bara hitta en.

När man kombinerar AI med det nuvarande marknadsläget ser det spänt ut. Fear & Greed Index ligger på 37, vilket är mitt i "Fear"-territorium. Total market cap ligger runt 2,83 biljoner dollar, men den riktiga storyn finns i volymen. Vi ser nästan 96 miljarder dollar i 24-timmarsvolym, men gasavgifterna på Ethereum är otroligt låga. Det tyder på en konstig diskonnekt där de stora pengarna snurrar på börserna, medan den faktiska on-chain DeFi-aktiviteten stannar av. Denna brist på aktivitet kan vara ett symptom på att folk inser att riskerna nu överväger belöningarna.

Gapet mellan audits och verkligheten

Jag har läst tillräckligt många whitepapers för att veta att "audited" inte betyder "ohackbart". Det betyder bara att en människa inte såg buggen under ett specifikt tidsfönster. AI blir inte trött, den missar inte ett semikolon och den har inga "dåliga dagar".

Det är därför jag blir mycket mer skeptisk till protokoll med hög avkastning. När jag ser ett projekt som lovar 50 % APY ser jag inte längre en guldgruva. Jag ser ett gigantiskt mål för en AI-agent. Om koden är komplex och belöningen är hög är det bara en tidsfråga innan en algoritm hittar felet.

Så skyddar du faktiskt dina tillgångar

Eftersom vi inte kan lita på att protokollen är perfekt säkra är det enda logiska draget att flytta risken från protokollet tillbaka till dig själv. Jag har alltid varit en förespråkare för self-custody, men den säkerhetsnivå som krävs nu är högre än den var 2019.

För alla som håller betydande mängder ETH eller SOL behövs en hårdvarusignator som faktiskt låter dig se vad du skriver under. De flesta klickar bara blint på "Confirm" i en MetaMask-popup, vilket är precis hur de flesta AI-drivna phishing-attacker fungerar. Jag föredrar Ledger Stax just för att den har en stor E Ink-pekskärm och en inbyggd Transaction Check-funktion för att upptäcka scams innan du signerar. Den är dyr med ett pris på 399 dollar, men det är betydligt billigare än att förlora hela portföljen till en bot.

Min slutgiltiga syn på AI-hotet

Jag säger inte att du ska lämna DeFi helt, men du måste sluta behandla det som ett sparkonto. Det är ett högrisklaboratorium. Eran av "set it and forget it" yield farming är över eftersom rovdjuren nu är snabbare än utvecklarna.

Jag kommer att följa de kommande månadernas protokolluppdateringar noga. Om vi inte ser ett massivt skifte mot AI-driven övervakning i realtid och formell verifiering tror jag att vi kommer se en serie "black swan"-händelser som får 2022 års krascher att framstå som en uppvärmning. Tills dess, håll dina tillgångar offline och utgå från att varje protokoll du använder har ett hål som en AI redan har hittat.

Handla nyheterna på vår redaktionellt utvalda börs: MEXC