Página inicial
Notícias
Detalhes

Crise de segurança DeFi: Fundador da OpenZeppelin alerta que todos os protocolos são vulneráveis

icon MarsBit
Compartilhar
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$65,1870,57%
This is the logo of the coin.
Maker
----
This is the logo of the coin.
COMP
$17,29-2,09%
AI summary iconResumo

expand icon
O fundador da OpenZeppelin, Manuel Aráoz, alertou que todos os protocolos DeFi estão em risco devido a explorações DeFi impulsionadas por IA. Ele aconselhou contatos próximos a retirar fundos da Aave, MakerDAO e outras plataformas. Uma grande violação de segurança atingiu o Drift Protocol em US$ 2,8 bilhões em abril, seguida por mais de US$ 100 milhões em maio. Aráoz afirma que a IA agora pode detectar falhas em contratos inteligentes em tempo real, deixando os investidores DeFi expostos a novas ameaças.

Original | Odaily Planet Daily (@OdailyChina)

Autor | Azuma (@azuma_eth)

DeFi

Acho que todo o DeFi já não é seguro.

A afirmação deixada por Manuel Aráoz, fundador da OpenZeppelin, ontem no X, como uma bomba de profundidade, voltou a sacudir o mercado DeFi, que já estava como água parada.

DeFi

Manuel até disse que já começou a aconselhar familiares e amigos a retirar fundos de diversos protocolos DeFi, incluindo protocolos de蓝筹 considerados de baixo risco, como Aave, MakerDAO e Compound.

This is not alarmism from an outsider. On the contrary, Manuel himself is one of the core builders of the DeFi security ecosystem, and OpenZeppelin is one of the industry’s most mainstream security audit firms, whose contract libraries, security standards, and audit frameworks permeate nearly the entire DeFi world.

A razão pela qual a atitude de Manuel mudou completamente é a IA. Manuel é pessimista quanto à capacidade dos Agentes de Codificação de IA em identificar e explorar vulnerabilidades em contratos inteligentes, que está aumentando exponencialmente.

Isso significa que problemas que antes exigiam semanas de trabalho de equipes de white hats de alto nível agora podem ser escaneados pela IA em minutos; antes, os hackers precisavam estudar a lógica do protocolo por longos períodos, agora a IA pode automatizar diretamente a análise de caminhos de ataque; antes, a “transparência aberta” do DeFi era uma vantagem, agora tornou-se o melhor conjunto de dados de treinamento para atacantes.

Manuel também mencionou um problema ainda mais grave: a segurança de contratos inteligentes é essencialmente um jogo extremamente assimétrico — o lado defensivo precisa corrigir todas as vulnerabilidades, enquanto o atacante só precisa encontrar uma para roubar os fundos. Após a IA começar a aumentar exponencialmente a eficiência dos ataques, essa assimetria está se desequilibrando rapidamente.

A realidade fria: DeFi já é um caixa eletrônico para hackers

Ao revisar os acidentes de segurança no DeFi dos últimos meses, você verá que as preocupações de Manuel não são exageradas.

Abril foi quase o pior mês da história do DeFi.

  • Em 1º de abril, no Dia da Mentira, o Drift Protocol sofreu um roubo de US$ 280 milhões devido à exploração de vulnerabilidades de permissão de administrador e execução de multisig (consulte “Piada do Dia da Mentira? Drift Protocol roubado em mais de US$ 280 milhões, possivelmente o segundo maior ataque DeFi no ecossistema Solana”).
  • Em seguida, em 19 de abril, o Kelp DAO sofreu um roubo de US$ 292 milhões devido à exploração do protocolo de ponte (consulte “DeFi mais uma vez roubado em US$ 292 milhões; agora nem o Aave está seguro?”), com o hacker utilizando posteriormente protocolos de empréstimo como o Aave para fugir, mergulhando todo o DeFi na sombra de inadimplência e seus efeitos colaterais.

Após a entrada em maio, os acidentes não apenas não diminuíram, mas se espalharam ainda mais.

  • Em 15 de maio, o THORChain sofreu um ataque, em que operadores de nós recém-adicionados exploraram uma vulnerabilidade no esquema de assinatura de limiar GG20 (TSS) para recriar a chave privada do cofre e executar diretamente transações de saída, causando perdas superiores a US$ 10 milhões.
  • Em 18 de maio, o protocolo de ponte da Verus foi atacado; o atacante falsificou payloads de importação intercadeia, contornando a validação e retirando ativos da reserva da Ethereum, roubando aproximadamente US$ 11,58 milhões.
  • Em 19 de maio, o Echo Protocol no Monad foi atacado devido ao vazamento da chave privada; o atacante cunhou 1.000 eBTC (valor de US$ 76,7 milhões) e retirou os fundos por meio da Curvance, utilizando uma rota de ataque previamente testada.
  • Em 24 de maio, a StablR, emissora de stablecoins regulamentadas sob o regime MiCA, sofreu um ataque; os hackers lucraram mais de US$ 2,8 milhões através da emissão adicional de EURR e USDR, causando a desancoragem do EURR e do USDR.
  • Em 25 de maio, o módulo SquidRouter sofreu um ataque, resultando na perda de aproximadamente 3 milhões de dólares em ativos de 86 carteiras Gnosis Safe.
  • Em 27 de maio, a chave privada do deployer da StakeDAO foi comprometida no Arbitrum; o atacante cunhou aproximadamente 5,45 trilhões de vsdCRV e trocou parcialmente por 43,7 ETH para fugir.

Os incidentes de segurança frequentes soaram o alarme: desde o código na cadeia até a gestão off-chain, o DeFi parece estar cedendo em todos os fronts.

AI já se tornou a arma nuclear dos hackers

Por que a batalha entre ataque e defesa no DeFi acelerou drasticamente este verão? Além da evolução tradicional das técnicas de hackers, o avanço explosivo das capacidades dos grandes modelos de IA está se tornando o fator decisivo que desequilibra o cenário.

No passado, encontrar uma vulnerabilidade complexa em um contrato inteligente (especialmente envolvendo cross-chain, múltiplas camadas aninhadas ou lógica de reentrada extremamente sutil) exigia semanas ou até meses de análise de código por hackers de ponta. No entanto, com o amadurecimento de agentes de IA capazes de processar contextos ultra-longos, raciocínio lógico robusto e chamada autônoma de ferramentas, tudo isso sofreu uma transformação qualitativa.

  • Varredura em tempo real e descoberta de “vulnerabilidades zero-day” em toda a rede: os atacantes precisam apenas alimentar repositórios de código aberto com modelos de inferência de IA de nova geração; a IA consegue, em poucos segundos, simular centenas de cenários extremos de interação, como um especialista em segurança experiente, identificando com precisão condições de limite que auditores humanos podem perder quando cansados.
  • Geração automática de scripts de ataque: a IA não apenas consegue identificar vulnerabilidades, mas também pode escrever, testar e implantar automaticamente “contratos inteligentes de hacker” para extrair fundos.
  • Orquestração perfeita entre DevOps off-chain e engenharia social: IA pode se disfarçar de desenvolvedor perfeito para realizar phishing ou monitorar continuamente os commits da equipe DeFi no GitHub. Assim que a equipe fizer o upload de informações sensíveis ou código de correção não verificado, a IA lançará um ataque em segundos — muito mais rápido do que o tempo de resposta de um profissional de segurança humano.

Nesta guerra de ataque e defesa impulsionada por IA, os hackers, com o auxílio da IA, possuem quase munição ilimitada e velocidade de ataque em segundos, enquanto o DeFi é limitado por processos lentos de votação de governança, confirmações de múltiplas assinaturas e auditorias de segurança atrasadas, dificultando respostas defensivas adequadas.

No mês passado, a empresa de desenvolvimento de IA por trás do Claude, a Anthropic, anunciou oficialmente o novo modelo Mythos (veja detalhes em “A Anthropic criou o modelo de IA mais poderoso da história, mas não ousou lançá-lo…”). Este é o primeiro modelo da história humana cujo número total de parâmetros ultrapassou a escala de dez trilhões (em contraste, os modelos principais disponíveis no mercado atualmente têm números de parâmetros na faixa de centenas de bilhões a um trilhão), com um custo de treinamento impressionante de 10 bilhões de dólares.

No entanto, devido à especialização do Mythos em segurança cibernética (a Anthropic revelou que a empresa identificou milhares de vulnerabilidades zero-day em apenas algumas semanas usando o Mythos), a Anthropic não ousa publicar diretamente o modelo, temendo que seja mal utilizado por grupos de hackers, e planeja primeiro permitir que grandes empresas o testem por meio de um programa chamado “Asa de Vidro” para identificar e corrigir vulnerabilidades potenciais antecipadamente.

A situação de segurança atual no DeFi ainda é muito grave, e é difícil imaginar que novas ameaças a defesa de segurança da indústria enfrentará após o lançamento público do Mythos.

Maior problema: A relação risco-recompensa já está desequilibrada

Para participantes comuns de DeFi, provedores de liquidez (LP) e grandes detentores, a questão mais importante agora é sentar e fazer as contas.

Por muito tempo, os usuários escolheram depositar seus fundos no DeFi em busca de taxas de retorno anualizadas várias vezes superiores às do sistema financeiro tradicional. Em períodos de mercado de alta ou loucura de yield farming, retornos de 10%, 20% ou mais eram suficientes para compensar as expectativas psicológicas dos usuários em relação ao “risco técnico potencial”.

Mas hoje, essa lógica subjacente já foi abalada e até mesmo invertida; a relação risco-retorno do DeFi já está desequilibrada. No lado dos rendimentos, com o mercado entrando em uma fase de competição por estoque e os colchões de segurança se tornando mais robustos, a taxa de retorno real da maioria dos protocolos DeFi principais e relativamente confiáveis já caiu para a faixa de dígitos únicos. Já no lado do risco, o capital dos usuários está exposto a um sistema opaco que pode ser comprometido a qualquer momento por IA ou esvaziado instantaneamente por闪电贷; caso um protocolo sofra um ataque hacker, a moeda pode cair a zero e o pool de liquidez ser completamente esvaziado em poucos minutos, sem qualquer proteção legal, seguradora ou banco central.

Trocar um risco de perda total do capital por um retorno anual de cerca de 5% claramente não é um bom negócio.

As palavras de Manuel podem parecer absolutas, mas elas desvendaram a última desculpa do DeFi. Diante da realidade em que hackers já utilizam IA como arma comum e eventos de segurança na indústria ocorrem constantemente, se você não estiver preparado psicologicamente para perder 100% do seu capital em troca de um certo retorno, "sacar os fundos o mais rápido possível e garantir o lucro" pode ser a escolha mais inteligente e alinhada aos princípios de gestão de risco neste ciclo de mercado.

Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações. Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.