Главная
Новости
Подробнее

Кризис безопасности DeFi: основатель OpenZeppelin предупреждает, что все протоколы уязвимы

icon MarsBit
Поделиться
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$83,4590,7 %
This is the logo of the coin.
Maker
----
This is the logo of the coin.
COMP
$18,513,58 %
AI summary iconСводка

expand icon
Основатель OpenZeppelin Мануэль Араоз предупредил, что все DeFi-протоколы находятся под угрозой из-за эксплойтов DeFi, использующих ИИ. Он посоветовал близким контактам вывести средства из Aave, MakerDAO и других платформ. В апреле произошел крупный инцидент с безопасностью Drift Protocol на сумму $2,8 млрд, за которым последовали потери более $100 млн в мае. Араоз утверждает, что теперь ИИ может обнаруживать уязвимости смарт-контрактов в реальном времени, подвергая инвесторов DeFi новым угрозам.

Оригинал | Odaily Planet Daily (@OdailyChina)

Автор: Азума (@azuma_eth)

DeFi

Я считаю, что вся DeFi уже небезопасна.

Заявление основателя OpenZeppelin Мануэля Араоза, оставленное им вчера в X, стало как глубинная бомба, вновь потрясшей и без того застывший рынок DeFi.

DeFi

Мануэль даже заявил, что начал рекомендовать своим родственникам и друзьям выводить средства из различных протоколов DeFi, включая такие ранее считавшиеся низкорисковыми блюз-протоколы, как Aave, MakerDAO и Compound.

Это не паника от кого-то не в теме. Напротив, Мануэль сам является одним из ключевых создателей системы безопасности DeFi, а OpenZeppelin — одна из ведущих компаний по аудиту безопасности, чьи смарт-контракты, стандарты безопасности и рамки аудита пронизывают весь мир DeFi.

Причиной полного изменения отношения Мануэля стало ИИ. Мануэль скептически полагает, что способность ИИ-агентов для программирования выявлять и эксплуатировать уязвимости в смарт-контрактах растет экспоненциально.

Это означает, что проблемы, которые раньше требовали от команды топовых белых шляп несколько недель для обнаружения, теперь могут быть выявлены ИИ за несколько минут; раньше хакерам требовалось долгое изучение логики протокола, теперь ИИ может автоматически анализировать пути атаки; раньше «открытость и прозрачность» DeFi были преимуществом, теперь они превратились в лучшую обучающую выборку для злоумышленников.

Мануэль также упомянул более смертельную проблему: безопасность смарт-контрактов по сути является крайне асимметричной игрой — защитник должен устранить все уязвимости, в то время как атакующему достаточно найти одну, чтобы украсть средства. После того как ИИ начал экспоненциально повышать эффективность атак, это неравенство быстро выходит из-под контроля.

Холодная реальность: DeFi стал банковским автоматом для хакеров

Оглядываясь на дефи-инциденты за последние несколько месяцев, вы увидите, что опасения Мануэля не преувеличены.

Апрель был почти самым худшим месяцем в истории DeFi.

  • 1 апреля, в День дураков, Drift Protocol был ограблен на 280 миллионов долларов из-за компрометации прав администратора и уязвимости в выполнении мультиподписи (подробнее см. «Шутка на День дураков? Drift Protocol был ограблен на более чем 280 миллионов долларов, возможно, это второе по величине DeFi ограбление в экосистеме Solana»).
  • Затем 19 апреля Kelp DAO была ограблена на сумму 292 миллиона долларов США из-за атаки на мостовой протокол (подробнее см. «DeFi снова ограблен на 292 миллиона долларов: теперь даже Aave не безопасен?»); хакер далее воспользовался протоколами заимствования, такими как Aave, чтобы скрыться, что погрузило весь DeFi в тень просроченной задолженности и сопутствующих последствий.

После выхода в май инциденты не только не уменьшились, но и распространились еще больше.

  • 15 мая THORChain подвергся атаке: новые операторы узлов воспользовались уязвимостью в пороговой схеме подписи GG20 (TSS), чтобы восстановить приватные ключи казны и непосредственно выполнить исходящие транзакции, что привело к убыткам более чем на 10 миллионов долларов США.
  • 18 мая версия моста Verus подверглась атаке: злоумышленник подделал跨链 импорт payload, обойдя проверку и извлекая активы из резервов Ethereum, похитив примерно 11,58 млн долларов США.
  • 19 мая на Monad протокол Echo Protocol подвергся атаке из-за утечки приватного ключа: злоумышленник создал 1000 eBTC (на сумму 76,7 млн долларов США) и вывел средства через ранее протестированный путь атаки через Curvance.
  • 24 мая в рамках регуляторной системы MiCA合规稳定币发行方 StablR 遭遇攻击,黑客通过增发 EURR 和 USDR 获利超 280 万美元,并致使 EURR 与 USDR 发生脱锚。
  • 25 мая модуль SquidRouter подвергся атаке, в результате которой из 86 кошельков Gnosis Safe было похищено активов на сумму около 3 миллионов долларов США.
  • 27 мая ключи от кошелька разработчика StakeDAO были скомпрометированы на Arbitrum, злоумышленник выпустил около 5,45 триллиона vsdCRV и частично обменял их на 43,7 ETH для побега.

Частые инциденты безопасности настораживают: от кода в цепочке до внеблокчейн-управления, DeFi, похоже, теряет позиции по всем фронтам.

ИИ стал ядерным оружием хакеров

Почему оборона и атаки в DeFi резко ускорились этим летом? Помимо традиционного развития хакерских технологий, стремительный прогресс в возможностях крупных языковых моделей ИИ становится решающим фактором, нарушающим равновесие.

Раньше поиск сложной уязвимости в смарт-контракте (особенно связанной с межцепочечными, многоуровневыми вложенными или крайне скрытыми логиками повторного вызова) требовал от топовых хакеров недели или даже месяцы анализа кода. Однако с развитием AI-агентов, обладающих сверхдлинным контекстом, сильной логической способностью и возможностью автономного вызова инструментов, всё изменилось качественно.

  • Сканирование в реальном времени и поиск «нулевых уязвимостей» по всему интернету: злоумышленникам достаточно передать открытые кодовые библиотеки новой модели ИИ для вывода — ИИ за несколько секунд, как опытный эксперт по безопасности, моделирует сотни экстремальных сценариев взаимодействия и точно выявляет граничные условия, которые человеческие аудиторы пропускают от усталости.
  • Генерация автоматизированных скриптов атаки: ИИ не только обнаруживает уязвимости, но и автоматически создает, тестирует и развертывает «хакерские смарт-контракты» для извлечения средств.
  • Идеальная синхронизация оффлайн DevOps и социальной инженерии: ИИ может маскироваться под идеального разработчика для фишинга или круглосуточно отслеживать коммиты в GitHub DeFi-команд. Как только команда загружает чувствительную информацию или непроверенный код исправлений, ИИ мгновенно запускает атаку — быстрее, чем человеческий сотрудник безопасности сможет отреагировать.

В этой войне безопасностных атак и защиты при поддержке ИИ хакеры обладают почти неограниченным количеством пуль и скоростью атак в секунды, в то время как DeFi ограничены медленным процессом голосования по управлению, подтверждением мультиподписью и запаздывающими аудитами безопасности, что затрудняет своевременную защиту.

В прошлом месяце Anthropic, компания-разработчик ИИ, стоящая за Claude, официально представила новую модель Mythos (подробнее см. «Anthropic создала самую мощную ИИ-модель в истории, но не решилась её выпустить…»). Это первая в истории человечества модель, общее количество параметров которой превысило десять триллионов (в сравнении, текущие основные модели на рынке имеют параметры в диапазоне от сотен миллиардов до одного триллиона), а стоимость её обучения достигла поразительных 10 миллиардов долларов.

Однако из-за специализированных способностей Mythos в области кибербезопасности (Anthropic ранее раскрыла, что компания с помощью Mythos выявила тысячи нулевых уязвимостей всего за несколько недель), Anthropic даже не осмеливается напрямую публиковать эту модель, чтобы избежать злонамеренного использования со стороны хакерских групп, а планирует сначала запустить программу «Стеклянное крыло» для тестирования крупными компаниями и заранее устранить потенциальные уязвимости.

Ситуация с безопасностью в DeFi на текущем этапе остается крайне напряженной, и трудно представить, какие новые угрозы столкнутся защитные меры отрасли после публичного выпуска Mythos.

Главная проблема: соотношение риска и доходности давно стало несбалансированным

Для обычных участников DeFi, поставщиков ликвидности (LP) и крупных держателей сейчас самый важный вопрос — сесть и провести расчеты.

В течение длительного времени пользователи выбирали размещение средств в DeFi ради годовой доходности, в несколько раз превышающей традиционные финансовые инструменты. В периоды бычьего рынка или безумия ликвидности, доходность в 10%, 20% и выше была достаточной, чтобы компенсировать психологическое восприятие «потенциальных технологических рисков».

Но сегодня эта базовая логика уже была подорвана или даже полностью颠覆ирована: соотношение риска и доходности в DeFi стало несбалансированным. С точки зрения доходности, по мере перехода рынка к конкуренции за существующие ресурсы и укрепления защитных барьеров, реальная доходность большинства основных и относительно надежных DeFi-протоколов уже снизилась до однозначных значений. С точки зрения риска, основной капитал пользователей подвергается воздействию черного ящика, который может быть взломан в любой момент с помощью ИИ или мгновенно опустошен с помощью молниеносных займов. Как только протокол подвергается хакерской атаке, токены обесцениваются, а ликвидность изымается за считанные минуты, и никакая правовая защита, страховка или центральный банк не могут компенсировать убытки.

Риск потерять 100% основного капитала ради получения годовой доходности около 5% — явно невыгодная сделка.

Слова Мануэля, возможно, звучат слишком категорично, но они сорвали последнюю занавеску с DeFi. Перед реальностью, когда хакеры уже используют ИИ в качестве обычного оружия, а индустрия сталкивается с постоянными инцидентами безопасности, если вы не готовы психологически к потере 100% своего капитала ради определенной прибыли, то «как можно скорее вывести средства и обеспечить себе безопасность» — это, пожалуй, самый разумный и соответствующий принципам управления рисками выбор в текущем рыночном цикле.

Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации. Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.