Inicio
Noticias
Detalles

Crisis de seguridad DeFi: El fundador de OpenZeppelin advierte que todos los protocolos son vulnerables

icon MarsBit
Compartir
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$82,8310,36 %
This is the logo of the coin.
Maker
----
This is the logo of the coin.
COMP
$18,273,16 %
AI summary iconResumen

expand icon
El fundador de OpenZeppelin, Manuel Aráoz, ha advertido que todos los protocolos DeFi están en riesgo debido a explotaciones DeFi impulsadas por IA. Él aconsejó a contactos cercanos que retiren sus fondos de Aave, MakerDAO y otras plataformas. En abril, un grave incidente de seguridad afectó al Protocolo Drift por $2.8 mil millones, seguido por más de $100 millones en mayo. Aráoz afirma que la IA ahora puede detectar fallas en contratos inteligentes en tiempo real, exponiendo a los inversores DeFi a nuevas amenazas.

Original | Odaily Planet Daily (@OdailyChina)

Autor: Azuma (@azuma_eth)

DeFi

Creo que todo el DeFi ya no es seguro.

La afirmación dejada por Manuel Aráoz, fundador de OpenZeppelin, ayer en X, actuó como una bomba de profundidad, volviendo a impactar un mercado DeFi que ya estaba como agua muerta.

DeFi

Manuel incluso indicó que ya ha comenzado a aconsejar a sus familiares y amigos que retiren sus fondos de diversos protocolos DeFi, incluyendo protocolos de élite anteriormente considerados de bajo riesgo como Aave, MakerDAO y Compound.

Esto no es un alarmismo proveniente de un lego. Por el contrario, Manuel es uno de los constructores más centrales del ecosistema de seguridad DeFi, y OpenZeppelin es una de las empresas de auditoría de seguridad más dominantes de la industria, cuya biblioteca de contratos, estándares de seguridad y marco de auditoría prácticamente permea todo el mundo DeFi.

La razón por la que la actitud de Manuel cambió por completo es la IA. Manuel es pesimista y cree que la capacidad de los agentes de codificación de IA para identificar y explotar vulnerabilidades en contratos inteligentes está aumentando exponencialmente.

Esto significa que los problemas que antes requerían semanas de trabajo por parte de equipos de white hat de primer nivel ahora pueden ser escaneados por IA en minutos; antes, los hackers necesitaban estudiar durante mucho tiempo la lógica del protocolo, pero ahora pueden analizar automáticamente las rutas de ataque mediante IA; antes, la “transparencia abierta” de DeFi era una ventaja, pero ahora se ha convertido en el mejor conjunto de datos de entrenamiento para los atacantes.

Manuel también mencionó un problema aún más grave: la seguridad de los contratos inteligentes es esencialmente un juego extremadamente asimétrico: el lado defensivo debe corregir todas las vulnerabilidades, mientras que el atacante solo necesita encontrar una para robar fondos. Después de que la IA comenzó a reforzar exponencialmente la eficiencia de los ataques, esta asimetría se está desequilibrando rápidamente.

La realidad fría: DeFi ya es un cajero automático para hackers

Al revisar los incidentes de seguridad en DeFi de los últimos meses, descubrirás que las preocupaciones de Manuel no son exageradas.

Abril fue casi el mes más malo en la historia de DeFi.

  • El 1 de abril, en el Día de los Inocentes, Drift Protocol sufrió un robo de 280 millones de dólares debido a la toma de control de permisos de administrador y una vulnerabilidad en la ejecución de la firma múltiple (ver «¿Broma del Día de los Inocentes? Drift Protocol roba más de 280 millones de dólares, posiblemente el segundo mayor robo DeFi en el ecosistema Solana»).
  • Luego, el 19 de abril, Kelp DAO sufrió un robo de 292 millones de dólares debido a una vulnerabilidad en su protocolo de puente (véase «DeFi vuelve a ser robado por 292 millones de dólares, ¿ahora ni Aave está a salvo?»); posteriormente, el hacker utilizó protocolos de préstamo como Aave para escapar, sumiendo a todo el ecosistema DeFi en la sombra de los impagos y sus efectos secundarios.

Y después de entrar en mayo, los incidentes no solo no disminuyeron, sino que se expandieron aún más.

  • El 15 de mayo, THORChain sufrió un ataque en el que operadores de nodos recién incorporados aprovecharon una vulnerabilidad en el esquema de firma umbral GG20 (TSS) para reestructurar las claves privadas de la bóveda y ejecutar directamente transacciones salientes, causando pérdidas superiores a 10 millones de dólares.
  • El 18 de mayo, el protocolo de puente de Verus fue atacado; el atacante falsificó payloads de importación cruzada para omitir la validación y extraer activos de la reserva de Ethereum, robando aproximadamente 11,58 millones de dólares.
  • El 19 de mayo, Echo Protocol en Monad fue atacado debido a una fuga de clave privada; el atacante acuñó 1.000 eBTC (valorados en 76,7 millones de dólares) y extrajo fondos a través de la ruta de ataque previamente probada mediante Curvance.
  • El 24 de mayo, StablR, emisor de stablecoins cumplidor bajo el marco regulatorio MiCA, sufrió un ataque; los hackers se beneficiaron con más de 2,8 millones de dólares mediante la emisión adicional de EURR y USDR, provocando la desvinculación de EURR y USDR.
  • El 25 de mayo, el módulo SquidRouter sufrió un ataque, y 86 billeteras Gnosis Safe fueron comprometidas, con aproximadamente 3 millones de dólares en activos robados.
  • El 27 de mayo, la clave privada del desplegador de StakeDAO fue comprometida en Arbitrum; el atacante acuñó aproximadamente 5,45 trillones de vsdCRV y los intercambió parcialmente por 43,7 ETH para huir.

Los incidentes de seguridad frecuentes han sonado la alarma: desde el código en la cadena hasta la gestión fuera de la cadena, DeFi parece estar cediendo en todos los frentes.

AI se ha convertido en el arma nuclear de los hackers

¿Por qué la batalla entre ataques y defensas en DeFi aceleró su colapso este verano? Además del desarrollo tradicional de técnicas de piratería, el avance explosivo de los modelos de IA se está convirtiendo en la pesa definitiva que rompe el equilibrio.

En el pasado, encontrar una vulnerabilidad compleja en un contrato inteligente (especialmente aquellas que involucraban cross-chain, anidamiento múltiple o lógicas de reentrada extremadamente sutiles) requería semanas e incluso meses de análisis de código por parte de hackers de élite. Sin embargo, con la madurez de los agentes de IA capaces de manejar contextos extremadamente largos, realizar razonamiento lógico avanzado y llamar herramientas de forma autónoma, todo ha experimentado un cambio cualitativo.

  • Escaneo en tiempo real y descubrimiento de vulnerabilidades de día cero en toda la red: los atacantes solo necesitan alimentar bibliotecas de código abierto a un nuevo modelo de inferencia de IA, que puede, en cuestión de segundos, simular cientos de escenarios de interacción extremos y detectar con precisión condiciones límite que los auditores humanos pueden pasar por alto cuando están cansados.
  • Generación automática de scripts de ataque: la IA no solo puede descubrir vulnerabilidades, sino que también puede escribir, probar y desplegar automáticamente “contratos inteligentes de hacker” para extraer fondos.
  • La coordinación perfecta entre DevOps fuera de la cadena y ingeniería social: la IA puede fingir ser un desarrollador perfecto para realizar phishing, o monitorear continuamente los commits del equipo DeFi en GitHub. Una vez que el equipo sube información sensible o código de corrección no verificado, la IA inicia el ataque en cuestión de segundos, mucho más rápido que el tiempo de respuesta de un analista de seguridad humano.

En esta guerra de ataque y defensa impulsada por IA, los hackers, con el apoyo de la IA, cuentan con balas casi ilimitadas y velocidades de ataque en segundos, mientras que DeFi se ve limitado por procesos de votación de gobernanza lentos, confirmaciones de múltiples firmas y auditorías de seguridad retrasadas, lo que dificulta responder con defensas adecuadas.

El mes pasado, Anthropic, la empresa de desarrollo de IA detrás de Claude, anunció oficialmente el nuevo modelo Mythos (ver más en «Anthropic crea el modelo de IA más poderoso de la historia, pero no se atreve a lanzarlo...»). Es el primer modelo de la historia humana cuyo número total de parámetros supera los diez billones (en comparación, los modelos principales actuales en el mercado tienen entre cientos de miles de millones y un billón de parámetros), con un costo de entrenamiento asombroso de 10.000 millones de dólares.

Sin embargo, debido a la especialización de Mythos en ciberseguridad (Anthropic reveló que la empresa identificó miles de vulnerabilidades de día cero en cuestión de semanas utilizando Mythos), Anthropic no se atreve a publicar directamente el modelo para evitar su uso malicioso por parte de grupos de hackers, y planea primero permitir que grandes empresas lo prueben a través de un programa llamado "Alas de Vidrio" para identificar y corregir vulnerabilidades potenciales con anticipación.

La situación de seguridad actual en DeFi sigue siendo muy grave, y es difícil imaginar qué nuevas amenazas enfrentará la defensa de seguridad de la industria tras el lanzamiento público de Mythos.

El mayor problema: la relación riesgo-beneficio ya está desequilibrada

Para los participantes comunes de DeFi, proveedores de liquidez (LP) y ballenas, la pregunta más importante ahora es sentarse y hacer las cuentas.

Durante mucho tiempo, los usuarios han elegido depositar sus fondos en DeFi buscando rendimientos anuales varios veces superiores a los del sistema financiero tradicional. En períodos de mercado alcista o de locura por el mining de liquidez, rendimientos del 10%, 20% o incluso más eran suficientes para cubrir las expectativas psicológicas de los usuarios respecto al “riesgo tecnológico potencial”.

Pero hoy en día, esta lógica subyacente ya ha sido sacudida e incluso invertida; la relación riesgo-rendimiento de DeFi ha quedado desequilibrada. En el lado del rendimiento, con el mercado entrando en una competencia por recursos limitados y los colchones de seguridad aumentando, la tasa de rendimiento real de la mayoría de los protocolos DeFi principales y relativamente confiables ha retrocedido a la gama de dígitos únicos; en el lado del riesgo, el capital del usuario se expone a un sistema opaco que puede ser vulnerado en cualquier momento por IA o vaciado instantáneamente mediante préstamos relámpago: si un protocolo sufre un ataque informático, la caída del token a cero y el agotamiento del fondo suelen ocurrir en cuestión de minutos, sin ninguna protección legal, seguros ni respaldo del banco central.

Arriesgar el 100% del capital principal para obtener un rendimiento anualizado de aproximadamente el 5% claramente no es una operación rentable.

Las palabras de Manuel pueden parecer extremas, pero desvelan el último velo del DeFi. Ante la realidad de que los hackers ya han convertido la IA en un arma común y los incidentes de seguridad se suceden sin cesar, si no estás preparado psicológicamente para perder el 100% de tu capital a cambio de ciertos rendimientos, entonces “retirar tus fondos lo antes posible y asegurar las ganancias” podría ser la opción más racional y alineada con los principios de gestión de riesgos en este ciclo de mercado.

Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información. Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.