Home
Mga Balita
Mga Detalye

DeFi Security Crisis: Ang Tagapagtatag ng OpenZeppelin ay Bumabala sa Lahat ng Mga Protokolo na May Panganib

icon MarsBit
I-share
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$83.0740.98%
This is the logo of the coin.
Maker
----
This is the logo of the coin.
COMP
$18.555.09%
AI summary iconSummary

expand icon
Ang founder ng OpenZeppelin, Manuel Aráoz, ay nagbaba ng babala na lahat ng DeFi protocols ay nasa panganib dahil sa AI-powered DeFi exploits. Sinabi niya sa mga malapit na kaibigan na tarhain ang kanilang pera mula sa Aave, MakerDAO, at iba pang mga platform. Isang malaking security breach ang nangyari sa Drift Protocol para sa $2.8 bilyon noong Abril, sumunod ng higit sa $100 milyon noong Mayo. Ayon kay Aráoz, ang AI ay kaya ngayong makakita ng mga kakulangan sa smart contract sa real time, na nagpapalabas ang mga investor sa DeFi sa mga bagong banta.

Original | Odaily Star Daily (@OdailyChina)

May-akda | Azuma (@azuma_eth)

DeFi

Naniniwala ako na lahat ng DeFi ay hindi na ligtas.

Ang pahayag na itinira ni Manuel Aráoz, ang tagapagtatag ng OpenZeppelin, kahapon sa X, ay parang isang malalim na pagsabog na muli ay nag-apekto sa DeFi market na nasa kahinaan na.

DeFi

Sinabi ni Manuel na nagsimula na siya na payuhan ang kanyang pamilya at kaibigan na tarikin ang kanilang pera mula sa mga DeFi protocol, kabilang ang Aave, MakerDAO at Compound, na dating itinuturing na mga blue-chip protocol na may mababang panganib.

Hindi ito isang pangamba mula sa isang layman. Sa katotohanan, si Manuel mismo ay isa sa mga pangunahing tagapagtatag ng sistema ng seguridad sa DeFi, at ang OpenZeppelin ay isa sa mga pangunahing kompanya ng security audit sa industriya, kung saan ang kanilang library ng contract, mga pamantayan sa seguridad, at mga framework ng audit ay halos nakapalibot sa buong mundo ng DeFi.

Ang dahilan kung bakit nagbago nang lubos ang pananaw ni Manuel ay ang AI. Naniniwala si Manuel na ang kakayahan ng AI Coding Agent sa pagkilala at pagsasamantala ng mga butas sa smart contract ay umuunlad nang eksponensyal.

Ibig sabihin nito, ang mga problema na dati ay kailangan ng ilang linggo ng isang top-tier na team ng white hat para mahanap, ngayon ay maaaring i-scan ng AI sa ilang minuto; dati, kailangan ng mga hacker na mag-aral nang mahaba ang lohika ng protokolo, ngayon ay maaari nang automatikong analisahin ng AI ang mga daanan ng pag-atake; dati, ang “pampubliko at transparente” na katangian ng DeFi ay isang kahusayan, ngayon naman ito ay naging pinakamahusay na corpus ng pagtuturo para sa mga attacker.

Kinabigyan ni Manuel ng isang mas patay na problema: ang seguridad ng smart contract ay isang napakadispar na laro—ang mga tagapagtanggol ay kailangang ayusin ang lahat ng mga butas, samantalang ang mga mang-aabuso ay kailangan lang makahanap ng isang butas upang makuha ang pera. Pagkatapos magsimula ang AI na palakasin ang epekto ng pag-atake nang eksponensyal, ang disparensiyang ito ay nagsisilbing mabilis na magkamali.

Malamig na katotohanan: Ang DeFi ay naging ATM para sa mga hacker

Sa pagtingin sa mga naging insidente sa kaligtasan ng DeFi sa mga nakalipas na buwan, makikita mo na ang pag-aalala ni Manuel ay hindi napakalaking pagkakamali.

Ang Abril ay halos ang pinakamasamang buwan sa kasaysayan ng DeFi.

  • Noong Abril 1, araw ng April Fools, nasira ng Drift Protocol ang 280 milyong dolyar dahil sa pagkakamali sa pagsasagawa ng multi-signature at pagkakawala ng pagsasakop sa pamamahala (tingnan ang “Tawa ba ito ng April Fools? Nasira ng Drift Protocol ang higit sa $280 milyon, maaaring maging ikalawang pinakamalaking DeFi heist sa ekosistema ng Solana”).
  • Sundin sa Abril 19, nasira ang Kelp DAO ng $292 milyon dahil sa pag-atake sa bridge protocol (tingnan ang artikulo na “DeFi ay muli na-binugbog ng $292 milyon, at ngayon ay hindi na ligtas ang Aave?”), kung saan ang hacker ay gumamit ng mga protocol tulad ng Aave upang makalikas, na nagdulot ng malaking alala sa buong DeFi tungkol sa mga masamang utang at mga epekto nito.

At matapos mabuo ang Mayo, ang insidente ay hindi nagbawas, kundi lumawak pa.

  • Noong Mayo 15, sinakop ang THORChain, kung saan ang mga bagong sumali na node operator ay naggamit ng isang butas sa GG20 Threshold Signature Scheme (TSS) upang muling bumuo ng private key ng vault at direktang isagawa ang outbound transactions, na nagresulta sa pagkawala ng higit sa $10 milyon.
  • Noong Mayo 18, nasakop ang bridge protocol ni Verus, kung saan ang attacker ay nag-forged ng cross-chain import payload upang i-bypass ang pag-verify at makuha ang mga asset mula sa Ethereum reserve, at nanakaw ng halos $11.58 milyon.
  • Noong Mayo 19, sinakop ang Echo Protocol sa Monad dahil sa pagkaleak ng private key, at ang attacker ay nag-cast ng 1,000 eBTC (halaga ng $76.7 milyon) at nag-withdraw ng mga pondo sa pamamagitan ng nakapagsubok na attack path sa pamamagitan ng Curvance.
  • Noong Mayo 24, ang StablR, isang kompliyant na issuer ng stablecoin sa ilalim ng MiCA regulatory framework, ay nasakop ng isang hacker na nagkakaroon ng pananalapi na higit sa $2.8 milyon sa pamamagitan ng pagpapalawak ng suplay ng EURR at USDR, na nagresulta sa pagkawala ng peg ng EURR at USDR.
  • Noong Mayo 25, sinakop ang SquidRouter module, at nasakop ang halos $3 milyon na ari-arian mula sa 86 na Gnosis Safe wallet.
  • Noong Mayo 27, ang private key ng StakeDAO deployer ay nasira sa Arbitrum, at ang attacker ay nag-cast ng halos 5.45 trilyon na vsdCRV at bahagyan itong palitan sa 43.7 ETH para umalis.

Mga mataas na kadalasan na nangyayaring pangyayari sa kaligtasan ang nagbigay ng babala, mula sa code sa chain hanggang sa pamamahala sa labas ng chain, tila nagkakaroon ng pagkabigo ang DeFi sa lahat ng aspeto.

Ang AI ay naging nuclear weapon ng mga hacker

Bakit nagkaroon ng mabilis na pagbagsak sa pag-atake at pagtatanggol ng DeFi sa tag-araw na ito? Bukod sa tradisyonal na pag-unlad ng mga teknik ng hacker, ang biglaang pag-unlad ng kakayahan ng malalaking modelo ng AI ay naging huling timbang na nagbabago sa balanse.

Noong nakaraan, ang paghahanap ng isang komplikadong bug sa smart contract (lalo na ang mga may kinalaman sa cross-chain, maraming nested layer, o napakalalim na reentrant logic) ay nangangailangan ng ilang linggo hanggang buwan ng pagsusuri ng code ng mga pinakamahusay na hacker. Gayunpaman, kasabay ng pagiging matatag ng mga AI agent na may malawak na konteksto, malakas na pag-iisip na lohikal, at kakayahang magtawag ng sariling mga kasangkapan, nangyari ang isang malaking pagbabago.

  • Second-by-second scanning and comprehensive “zero-day vulnerability” discovery: Attackers only need to feed open-source code repositories into the next-generation AI inference model, and the AI can, within seconds, simulate hundreds of extreme interaction scenarios like a seasoned security expert, precisely identifying boundary conditions missed by human auditors during fatigue.
  • Paggawa ng automated attack script: Ang AI ay hindi lamang nakakahanap ng mga butas, kundi maaari ring awtomatikong isulat, subukan, at i-deploy ang mga “hacker smart contract” para sa pagkuha ng pera.
  • Perpektong pagkakasundo ng DevOps at social engineering sa labas ng chain: Ang AI ay maaaring magtago bilang perpektong developer para sa phishing, o maaaring magmonito nang 24/7 sa mga GitHub commit ng DeFi team. Kapag in-upload ng team ang mga sensitibong impormasyon o hindi pa na-verify na code fixes, ang AI ay mag-aatake sa loob ng ilang segundo—mas mabilis kaysa sa reaksyon ng tao sa seguridad.

Sa digmaan ng pag-atake at pagtatanggol na may suporta ng AI, ang mga hacker ay may halos walang hanggang mga bala at bilis ng pag-atake sa loob ng mga segundo, samantalang ang DeFi ay limitado sa mabagal na proseso ng pagboto sa pamamahala, pagkumpirma ng multi-sign, at mga pag-audit sa kaligtasan na may pagkaantala, kaya't mahirap magbigay ng tugon sa pagtatanggol.

Noong nakaraang buwan, ang Anthropic, ang kumpanya ng AI na nasa likod ng Claude, ay opisyal na ipinahayag ang kanilang bagong henerasyon ng modelo na Mythos (tingnan ang “Ang Anthropic ay Gumawa ng Pinakamalakas na AI Model sa Kasaysayan, Ngunit Ayaw Ipalabas...”). Ito ang unang modelo sa kasaysayan ng tao na lalampas sa sampung trilyon ang kabuuang parameter (kumpara sa mga pangunahing modelo sa merkado ngayon na may sukat sa ilang milyar hanggang isang trilyon), at ang gastos sa pagtuturo ay umabot sa nakakagulat na $10 bilyon.

Gayunpaman, dahil sa espesyalisadong kakayahan ng Mythos sa cybersecurity (na ipinahayag ng Anthropic na nakakatukoy ang kompanya sa libu-libong zero-day vulnerabilities sa loob ng ilang linggo lamang gamit ang Mythos), hindi nais ng Anthropic na i-publish nang direkta ang modelo para maiwasan ang pang-aabuso ng mga hacker, kundi plano nito na unang ipakilala ito sa pamamagitan ng isang “Glass Wing” program upang subukan at ayusin ang mga potensyal na vulnerabilities ng mga pangunahing kumpanya.

Ang kasalukuyang kalagayan ng seguridad sa DeFi ay patuloy na malubha, at mahirap ipagpalagay kung anong mga bagong banta ang tatagpuan ng industriya sa seguridad pagkatapos ng pampublikong paglalabas ng Mythos.

Pinakamalaking problema: Ang risk-reward ratio ay nawala na sa balanse

Para sa karaniwang DeFi na miyembro, mga liquidity provider (LP), at mga whale, ang pinakamahalagang tanong ngayon ay upang upo at kalkulahin ang numero.

Sa matagal nang panahon, ang mga user ay pumipili na i-deposito ang kanilang pera sa DeFi dahil sa paghahanap ng annualized yield na mas mataas ng ilang beses kaysa sa tradisyonal na pagsasamantala. Sa panahon ng bull market o ng pagkakaroon ng malakas na liquidity mining, ang mga kita na 10%, 20%, o higit pa ay sapat upang takpan ang心理 na inaasahan ng mga tao tungkol sa “potensyal na teknikal na panganib”.

Ngunit ngayon, ang pangunahing lohika ay naging mabigat o nabago na; ang risk-reward ratio ng DeFi ay naging hindi balanse. Sa bahagi ng kita, kasunod ng pagpasok ng merkado sa pagkakaroon ng kompetisyon, ang safety net ay naging mas malakas, at ang tunay na yield ng karamihan sa mga pangunahin at relatif na kumpiyansa sa DeFi protocols ay bumaba na sa single digits. Sa bahagi ng panganib, ang kapital ng mga user ay nakalagay sa isang black box na maaaring madiskubre ng AI o mabawasan agad sa pamamagitan ng flash loan; kung sakaling ma-hack ang protocol, ang pagbaba ng halaga ng token at ang pagbawas ng liquidity pool ay maaaring mangyari sa loob ng ilang minuto, at walang batas, insurance, o sentral na bangko na makakapagbigay ng proteksyon.

Ang pagpapalakas ng annual yield na halos 5% gamit ang panganib na mawawalan ng 100% ng kapital ay hindi isang matalinong pagkakataon.

Maaaring medyo absoluto ang mga salita ni Manuel, ngunit ito ay nilikha ang huling takip ng DeFi. Sa harap ng katotohanan na ang mga hacker ay naging karaniwang gumagamit ng AI at patuloy na nangyayari ang mga insidente sa seguridad sa industriya, kung hindi ka handa na magkaroon ng mental na paghanda na mawalan ng 100% ng iyong kapital para sa isang tiyak na kita, ang “pagbawi ng pera nang maaga at pagsiguro sa kita” ay maaaring ang pinakamatalinong pagpipilian, na pinakatugma sa mga prinsipyo ng risk management sa kasalukuyang cycle ng merkado.

Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito. Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.