Halaman Utama
Berita
Butiran

Krisis Keselamatan DeFi: Pendiri OpenZeppelin Memperingatkan Semua Protokol Rentan

icon MarsBit
Kongsi
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$82.687-0.01%
This is the logo of the coin.
Maker
----
This is the logo of the coin.
COMP
$18.212.7%
AI summary iconRingkasan

expand icon
Pendiri OpenZeppelin, Manuel Aráoz, memperingatkan bahawa semua protokol DeFi berisiko akibat eksploitasi DeFi berasaskan AI. Beliau memberitahu kenalan rapat untuk menarik dana dari Aave, MakerDAO, dan platform lain. Sebuah kebocoran keselamatan besar menimpa Drift Protocol sebanyak $2.8 bilion pada bulan April, diikuti oleh lebih daripada $100 juta pada bulan Mei. Aráoz menyatakan bahawa AI kini mampu mengesan kelemahan kontrak pintar secara masa nyata, menjadikan pelabur DeFi terdedah kepada ancaman baharu.

Asli | Odaily Planet Daily (@OdailyChina)

Penulis | Azuma (@azuma_eth)

DeFi

Saya percaya semua DeFi sudah tidak selamat.

Pernyataan yang ditinggalkan oleh Manuel Aráoz, pendiri OpenZeppelin, semalam di X, seperti bom dalam air dalam yang kembali mengguncang pasaran DeFi yang sudah seperti air mati.

DeFi

Manuel bahkan menyatakan bahawa beliau telah mula menasihati keluarga dan rakan-rakan untuk menarik dana mereka daripada pelbagai protokol DeFi, termasuk protokol biru-chip yang pernah dianggap berisiko rendah seperti Aave, MakerDAO, dan Compound.

Ini bukan sekadar kebimbangan dari seseorang yang tidak berpengalaman. Sebaliknya, Manuel sendiri merupakan salah satu pembina utama dalam sistem keselamatan DeFi, sementara OpenZeppelin merupakan salah satu syarikat audit keselamatan paling utama dalam industri ini, dengan perpustakaan kontrak, piawaian keselamatan, dan kerangka auditnya yang hampir meresap ke seluruh dunia DeFi.

Penyebab perubahan sikap Manuel sepenuhnya adalah AI. Manuel optimis bahawa kemampuan AI Coding Agent dalam mengenal dan mengeksploitasi lubang keamanan kontrak pintar sedang meningkat secara eksponen.

Ini bermakna, masalah yang dahulu memerlukan pasukan white hat teratas berbulan-bulan untuk ditemui, kini mungkin boleh dipindai oleh AI dalam beberapa minit; dahulu penyerang perlu mengkaji logik protokol dalam jangka masa panjang, kini laluan serangan boleh dianalisis secara automatik oleh AI; dahulu “kejelasan terbuka” DeFi merupakan kelebihan, kini ia berubah menjadi koleksi latihan terbaik untuk penyerang.

Manuel juga menyebutkan masalah yang lebih mematikan: keselamatan kontrak pintar pada dasarnya adalah permainan yang sangat tidak seimbang — pihak bertahan harus memperbaiki semua kelemahan, sementara pihak penyerang hanya perlu menemukan satu kelemahan untuk mencuri dana. Selepas AI mulai memperkuat kecekapan serangan secara eksponen, ketidakseimbangan ini sedang cepat menjadi tidak terkawal.

Realiti sejuk: DeFi telah menjadi mesin penarikan tunai perompak

Apabila melihat semula insiden keselamatan DeFi dalam beberapa bulan terakhir, anda akan mendapati kebimbangan Manuel bukanlah berlebihan.

April hampir menjadi bulan paling buruk dalam sejarah DeFi.

  • Pada 1 April, pada Hari April Mop, Drift Protocol kehilangan US$280 juta akibat penjarahan kuasa pengurus dan kelemahan pelaksanaan tanda tangan ganda (lihat “Canda April Mop? Drift Protocol Dicuri Lebih Daripada US$280 Juta, Mungkin Menjadi Perompakan DeFi Kedua Terbesar di Ekosistem Solana”).
  • Seterusnya pada 19 April, Kelp DAO kehilangan US$292 juta akibat serangan terhadap protokol jembatan (lihat “DeFi Dicuri Lagi Sebanyak US$292 Juta, Apakah Aave Sekarang Tidak Lagi Aman?”), di mana perompak kemudian menggunakan protokol pinjaman seperti Aave untuk melarikan diri, menyebabkan seluruh DeFi terjebak dalam bayang-bayang gagal bayar dan dampak berantainya.

Dan selepas memasuki Mei, insiden tidak hanya berkurang, malah semakin meluas.

  • Pada 15 Mei, THORChain mengalami serangan, di mana operator nod baru memanfaatkan kelemahan dalam skema tanda tangan ambang GG20 (TSS) untuk mengganti kunci peribadi rekening simpanan, serta menjalankan transaksi keluar secara langsung, menyebabkan kerugian melebihi $10 juta.
  • Pada 18 Mei, protokol jambatan Verus diserang, di mana penyerang memalsukan payload impor lintas rantai untuk melanggar pengesahan dan menarik aset daripada simpanan Ethereum, mencuri kira-kira $11.58 juta.
  • Pada 19 Mei, Echo Protocol di atas Monad diserang akibat kebocoran kunci peribadi, di mana penyerang mencetak 1,000 eBTC (bernilai US$76.7 juta) dan menarik dana melalui laluan serangan yang telah diuji sebelumnya melalui Curvance.
  • Pada 24 Mei, penerbit mata wang stabil yang kompaian di bawah kerangka peraturan MiCA, StablR, diserang; perompak mendapat keuntungan lebih daripada $2.8 juta melalui pencetakan tambahan EURR dan USDR, menyebabkan EURR dan USDR kehilangan pegangan nilai.
  • Pada 25 Mei, modul SquidRouter mengalami serangan, dengan aset bernilai sekitar US$3 juta dicuri daripada 86 dompet Gnosis Safe.
  • Pada 27 Mei, kunci peribadi penebar StakeDAO telah bocor di Arbitrum, di mana penyerang mencetak sebanyak 5.45 trilion vsdCRV dan sebahagiannya ditukar kepada 43.7 ETH sebelum melarikan diri.

Peristiwa keselamatan yang sering berlaku telah menimbulkan amaran, dari kod atas rantai hingga pengurusan di luar rantai, DeFi kelihatan sedang kalah di semua garis.

AI telah menjadi senjata nuklear bagi perompak

Mengapa serangan dan pertahanan DeFi mengalami kemerosotan pesat pada musim panas ini? Selain perkembangan teknik perompak tradisional, kemajuan pesat dalam kemampuan model AI besar kini menjadi penambah berat yang memecahkan keseimbangan.

Dalam masa lalu, mencari kelemahan kontrak pintar yang kompleks (terutama yang melibatkan lintas rantai, pelbagai lapisan bersarang, atau logik re-entrance yang sangat halus) memerlukan beberapa minggu hingga berbulan-bulan pengulasan kod oleh hacker terkemuka. Namun, dengan kematangan agen AI yang memiliki konteks sangat panjang, penalaran logik yang kuat, dan kemampuan memanggil alat secara autonomus, semuanya mengalami perubahan kualitatif.

  • Pengimbasan per saat dan penggalian “lubang zero-day” secara menyeluruh: Penyerang hanya perlu memberikan perpustakaan kod sumber terbuka kepada model inferensi AI generasi baru, dan AI akan mampu menggambarkan ratusan skenario interaksi ekstrem dalam beberapa saat, seperti pakar keselamatan berpengalaman, untuk mengenal pasti syarat sempadan yang dilewati oleh juruaudit manusia semasa letih.
  • Penghasilan skrip serangan automatik: AI tidak hanya mampu mengesan kelemahan, tetapi juga boleh menulis, menguji, dan melaksanakan "kontrak pintar perompak" secara automatik untuk mengekstrak dana.
  • Penyusunan sempurna antara DevOps luar talian dan sosial engineering: AI boleh menyamar sebagai pembangun yang sempurna untuk melakukan penipuan, atau memantau penghantaran GitHub pasukan DeFi secara 24/7. Sekali pasukan menghantar kod pembaikan yang mengandungi maklumat sensitif atau tidak disahkan, AI akan memulakan serangan dalam beberapa saat—lebih pantas daripada masa tindakan jurulatih keselamatan manusia.

Dalam peperangan pertahanan dan serangan berkeselamatan yang dikuatkan oleh AI, perompak memiliki peluru hampir tanpa had dan kelajuan serangan dalam saat, manakala DeFi terhad kepada proses tadbir urus yang perlahan, pengesahan multi-tandatangan, dan audit keselamatan yang tertunda, sukar untuk memberikan respons pertahanan yang sepadan.

Bulan lalu, syarikat pembangun AI di belakang Claude, Anthropic, secara rasmi mengumumkan model generasi baru bernama Mythos (lihat lebih lanjut di “Anthropic Mencipta Model AI Terkuat Sepanjang Sejarah, Tetapi Tidak Berani Menerbitkannya…”). Ini adalah model pertama dalam sejarah manusia yang jumlah parameter keseluruhannya melepasi sepuluh trilion (manakala model utama yang ada di pasaran pada masa ini mempunyai jumlah parameter dalam lingkungan berbilion hingga satu trilion), dengan kos latihan yang mencapai 10 bilion dolar AS.

Namun, kerana keahlian khusus Mythos dalam keselamatan siber (Anthropic sebelum ini mengungkapkan bahawa syarikat tersebut berjaya mengenal pasti ribuan kelemahan zero-day dalam tempoh beberapa minggu sahaja menggunakan Mythos), Anthropic malah tidak berani menerbitkan model ini secara terbuka langsung, takut ia akan disalahgunakan oleh komuniti perompak, sebaliknya merancang untuk terlebih dahulu membenarkan syarikat-syarikat besar mencuba dan mengesan kelemahan melalui rancangan "Glass Wing" sebelum memperbaiki kelemahan berpotensi.

Keselamatan DeFi pada peringkat ini masih sangat serius, sukar untuk membayangkan ancaman baru apa yang akan dihadapi oleh pertahanan keselamatan industri selepas Mythos diumumkan secara terbuka.

Masalah terbesar: Nisbah risiko-keuntungan sudah tidak seimbang

Untuk peserta DeFi biasa, penyedia likuiditi (LP), dan paus besar, soal paling penting sekarang ialah duduk dan mengira angka-angkanya.

Selama ini, pengguna memilih menyimpan dana mereka ke DeFi kerana mencari pulangan tahunan yang beberapa kali ganda lebih tinggi berbanding perbankan tradisional. Dalam masa pasaran bull atau semasa aktiviti liquidity mining yang gila-gila, pulangan sebanyak 10%, 20%, atau lebih tinggi lagi cukup untuk menutupi harapan psikologi pengguna terhadap “risiko teknologi yang berpotensi”.

Namun hari ini, logikasasarnya telah digoyahkan bahkan diterbalikkan, nisbah risiko-keuntungan DeFi telah menjadi tidak seimbang. Di sisi keuntungan, seiring pasaran memasuki permainan stok, bantalan keselamatan menjadi lebih tebal, keuntungan sebenar kebanyakan protokol DeFi utama dan yang相对 boleh dipercayai telah turun ke kawasan satu digit; di sisi risiko, modal pengguna terdedah kepada kotak hitam yang boleh dihancurkan oleh AI atau dikosongkan secara serta-merta oleh pinjaman kilat, sekiranya protokol mengalami serangan perompak, nilai token menjadi sifar dan kolam dana disedut habis sering berlaku dalam beberapa minit, dan tiada undang-undang, insurans, atau bank pusat yang boleh menjaminnya.

Mengambil risiko kehilangan modal 100% untuk mendapatkan pulangan tahunan sekitar 5% jelas bukan perniagaan yang menguntungkan.

Kata-kata Manuel mungkin agak mutlak, tetapi ia membongkar cadar terakhir DeFi. Menghadapi kenyataan bahawa perompak telah menjadikan AI sebagai senjata biasa dan insiden keselamatan industri terus berlaku, jika anda tidak bersedia secara psikologi untuk kehilangan 100% modal demi keuntungan tertentu, maka “tarik dana secepat mungkin dan amankan keuntungan” mungkin merupakan pilihan paling rasional dan paling selaras dengan prinsip pengurusan risiko dalam kitaran pasaran semasa ini.

Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.