คำเตือนจาก OpenZeppelin คือสัญญาณเตือนภัย: AI กำลังเปลี่ยนวิธีที่ DeFi ถูกแฮ็ก

ฉันใช้เวลาหลายปีเฝ้าดู DeFi พัฒนาจากพูลสภาพคล่องง่ายๆ กลายเป็นเหมือนตัวต่อเลโก้ทางการเงินที่ซับซ้อนและเชื่อมโยงกันยุ่งเหยิง แต่คำเตือนล่าสุดจาก CEO ของ OpenZeppelin ซึ่งเป็นเหมือนมาตรฐานทองคำด้านความปลอดภัยของสมาร์ทคอนแทรค คือจุดเปลี่ยนของเรื่องนี้อย่างแท้จริง เขาบอกว่า DeFi ทั้งหมดตอนนี้ไม่ปลอดภัย เพราะเรากำลังเผชิญหน้ากับ AI coding agents ที่มีความสามารถเหนือมนุษย์ สำหรับใครที่สงสัยว่า defi protocols safe from ai หรือโปรโตคอล DeFi ปลอดภัยจาก AI ไหม คำตอบแบบตรงไปตรงมาคือ กติกาเพิ่งจะเปลี่ยนไป เราไม่ได้สู้กับแค่แฮ็กเกอร์ที่เป็นคนอีกต่อไป แต่เรากำลังสู้กับอัลกอริทึมที่สามารถหา "รูเข็ม" ในโค้ดหมื่นบรรทัดได้ภายในไม่กี่วินาที ซึ่งก่อนหน้านี้ฉันเคยเขียนเรื่อง AI และความปลอดภัยของคริปโต ไว้ให้พอเป็นพื้นฐานแล้ว

ความจริงบทใหม่ของการโจมตีระดับเหนือมนุษย์

นานมาแล้วเราเชื่อว่าการผ่านการตรวจสอบ (Audit) จากบริษัทที่มีชื่อเสียงคือตราประทับความปลอดภัย ฉันเคยคิดว่าถ้าโปรเจกต์ไหนผ่าน Audit มาสามรอบและมี Bug Bounty ก็ถือว่า "ปลอดภัยพอแล้ว" แต่เหตุการณ์ StablR exploit และคลื่นการ Rugpull ที่ซับซ้อนในเกาหลีใต้ช่วงนี้ แสดงให้เห็นว่าช่องทางการโจมตีกำลังขยายกว้างขึ้น

อันตรายในที่นี้ไม่ใช่แค่แชทบอทที่เขียนสคริปต์เก่งขึ้น แต่มันคือการมาของ AI agents ที่สามารถจำลองการทำธุรกรรมนับล้านรูปแบบ เพื่อหาเส้นทางลับๆ ที่ซ่อนอยู่ในการสูบเงินออกจาก Treasury ของโปรโตคอล ในขณะที่ฉันเคยวิเคราะห์ว่า ความเสี่ยงจากความซับซ้อนของ DeFi ทำให้ระบบเปราะบาง แต่ AI นี่แหละคือตัวเร่งที่เปลี่ยนความเปราะบางนั้นให้กลายเป็นหายนะได้ทันที

ทำไมโปรโตคอล DeFi ถึง (ไม่) ปลอดภัยจาก AI

ถ้าคุณอยากหาเหตุผลให้รู้สึกดีขึ้น คุณอาจจะเถียงได้ว่า AI ก็ช่วย "ฝั่งคนดี" เหมือนกัน เราเห็นเคสที่ AI ช่วยหาช่องโหว่ก่อนที่โค้ดจะถูกนำไปใช้จริง แต่จากประสบการณ์ของฉัน ฝั่งผู้โจมตีได้เปรียบเสมอ นักพัฒนาต้องปิดประตูทุกบานให้สนิท แต่แฮ็กเกอร์ขอแค่เจอประตูที่แง้มไว้บานเดียวก็พอ

พอเอาเรื่อง AI มาบวกกับสภาพตลาดตอนนี้ ยิ่งดูตึงเครียด ค่า Fear & Greed Index อยู่ที่ 37 ซึ่งตกอยู่ในโซน "Fear" หรือความกลัวอย่างชัดเจน Market Cap รวมอยู่ที่ประมาณ 2.83 ล้านล้านดอลลาร์ แต่จุดที่น่าสนใจคือวอลลุ่ม เราเห็นวอลลุ่ม 24 ชั่วโมงเกือบ 9.6 หมื่นล้านดอลลาร์ แต่ค่าแก๊สของ Ethereum กลับต่ำเตี้ยเรี่ยดิน สิ่งนี้บอกถึงความย้อนแย้งที่ว่าเงินก้อนใหญ่ยังคงหมุนเวียนอยู่ในกระดานเทรด แต่กิจกรรม DeFi บนเชนจริงๆ กลับซบเซา ซึ่งการขาดกิจกรรมนี้อาจเป็นสัญญาณว่าคนเริ่มรู้แล้วว่าความเสี่ยงมันเริ่มสูงกว่าผลตอบแทน

ช่องว่างระหว่างการ Audit กับความเป็นจริง

ฉันอ่าน Whitepaper มามากพอที่จะรู้ว่าคำว่า "ผ่านการ Audit" ไม่ได้แปลว่า "แฮ็กไม่ได้" มันแค่หมายความว่ามนุษย์มองไม่เห็นบั๊กในช่วงเวลาที่ตรวจสอบเท่านั้น แต่ AI ไม่รู้จักเหนื่อย ไม่มองข้ามเครื่องหมายเซมิโคลอน และไม่มีคำว่า "วันที่ทำงานพลาด"

นี่คือเหตุผลที่ฉันเริ่มระแวงโปรโตคอลที่ให้ผลตอบแทนสูงๆ เวลาเห็นโปรเจกต์ไหนสัญญา APY 50% ฉันไม่มองว่ามันเป็นเหมืองทองอีกต่อไป แต่ฉันมองว่ามันคือเป้าหมายขนาดใหญ่สำหรับ AI agent ถ้าโค้ดซับซ้อนและรางวัลล่อใจสูง มันก็แค่เรื่องของเวลาก่อนที่อัลกอริทึมจะเจอจุดบอด

วิธีปกป้องสินทรัพย์ของคุณจริงๆ

ในเมื่อเราเชื่อใจไม่ได้ว่าโปรโตคอลจะปลอดภัยสมบูรณ์แบบ ทางเลือกที่สมเหตุสมผลที่สุดคือย้ายความเสี่ยงจากโปรโตคอลกลับมาอยู่ที่ตัวเราเอง ฉันสนับสนุนการเก็บเหรียญด้วยตัวเอง (Self-custody) มาตลอด แต่ระดับความปลอดภัยที่คุณต้องมีตอนนี้สูงกว่าปี 2019 มาก

สำหรับใครที่ถือ ETH หรือ SOL จำนวนมาก คุณต้องมี Hardware Signer ที่ทำให้คุณเห็นได้จริงๆ ว่าคุณกำลังเซ็นอนุมัติอะไร คนส่วนใหญ่แค่กด "Confirm" บนป๊อปอัพ MetaMask ไปส่งๆ ซึ่งนั่นแหละคือวิธีที่การ phishing โดยใช้ AI ทำงาน ฉันแนะนำ Ledger Stax สำหรับเรื่องนี้โดยเฉพาะ เพราะมันมีหน้าจอ E Ink ขนาดใหญ่และฟีเจอร์ Transaction Check ที่ช่วยตรวจจับการโกงก่อนที่คุณจะเซ็น ราคา 399 ดอลลาร์อาจจะดูแพง แต่ถูกกว่าการเสียพอร์ตทั้งหมดให้กับบอทแน่นอน

มุมมองสุดท้ายของฉันต่อภัยคุกคามจาก AI

ฉันไม่ได้บอกให้คุณเลิกเล่น DeFi ไปเลย แต่คุณต้องเลิกคิดว่ามันคือบัญชีออมทรัพย์ ให้มองว่ามันคือห้องแล็บที่มีความเสี่ยงสูง ยุคของการ "ฝากแล้วลืม" เพื่อกิน Yield จบลงแล้ว เพราะตอนนี้ผู้ล่าทำงานเร็วกว่านักพัฒนา

ฉันจะจับตาดูการอัปเดตของโปรโตคอลต่างๆ ในอีกไม่กี่เดือนข้างหน้า ถ้าเราไม่เห็นการเปลี่ยนผ่านครั้งใหญ่ไปสู่การเฝ้าระวังแบบ Real-time ด้วย AI และการทำ Formal Verification ฉันคิดว่าเราจะได้เห็นเหตุการณ์ "Black Swan" ที่จะทำให้การพังทลายในปี 2022 ดูเป็นแค่การวอร์มอัพ ระหว่างนี้ เก็บสินทรัพย์ของคุณไว้แบบ Offline และสมมติไว้เลยว่าทุกโปรโตคอลที่คุณใช้มีรูรั่วที่ AI เจอเรียบร้อยแล้ว

เทรดตามข่าวที่ทีมบรรณาธิการของเราเลือก: MEXC