Головна
Новини
Детальніше

Криза безпеки DeFi: Засновник OpenZeppelin попереджає, що всі протоколи вразливі

icon MarsBit
Поділитися
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$82,8310,36%
This is the logo of the coin.
Maker
----
This is the logo of the coin.
COMP
$18,273,16%
AI summary iconКороткий зміст

expand icon
Засновник OpenZeppelin Мануель Араоз попередив, що всі DeFi-протоколи під загрозою через використання штучного інтелекту для атак на DeFi. Він порадив близьким вивести кошти з Aave, MakerDAO та інших платформ. У квітні Drift Protocol зазнав великої порушення безпеки на суму $2,8 млрд, а в травні — ще понад $100 млн. Араоз стверджує, що тепер штучний інтелект може виявляти недоліки смартконтрактів у реальному часі, що виставляє інвесторів у DeFi під нові загрози.

Оригінал | Odaily Star Daily (@OdailyChina)

Автор: Azuma (@azuma_eth)

DeFi

Я вважаю, що всі DeFi вже небезпечні.

Заява засновника OpenZeppelin Мануеля Араоза, залишена ним вчора на X, виглядає як глибоководна бомба, що знову вразила DeFi-ринок, який і так був як мертва вода.

DeFi

Мануель навіть сказав, що почав радити родичам і друзям виводити кошти з великих DeFi-протоколів, включаючи такі, як Aave, MakerDAO і Compound, які раніше вважалися низькоризикованими блюз-протоколами.

Це не вигадка непрофесіонала. Навпаки, Мануель сам є одним із ключових розробників системи безпеки DeFi, а OpenZeppelin — одна з найбільш відомих компаній з аудиту безпеки в галузі, чиї контракти, стандарти безпеки та рамки аудиту майже повністю пронизують весь світ DeFi.

Причиною повного зміни ставлення Мануеля є ШІ. Мануель пессимістично вважає, що здатність ШІ-агентів для кодування виявляти та експлуатувати вразливості у смарт-контрактах зростає експоненційно.

Це означає, що проблеми, які раніше вимагали тижнів роботи команди топових білих шапок, зараз можуть бути виявлені штучним інтелектом за кілька хвилин; раніше хакерам потрібно було довго досліджувати логіку протоколу, а зараз AI може автоматично аналізувати шляхи атак; раніше «відкритість та прозорість» DeFi були перевагою, зараз вони перетворилися на найкращу навчальну базу для нападників.

Мануель також згадав більш смертельну проблему: безпека смарт-контрактів суттєво є грою з надзвичайною асиметрією — захисникам потрібно виправити всі вразливості, тоді як атакувальникам достатньо знайти лише одну, щоб викрасти кошти. Після того як ШІ почав експоненційно підвищувати ефективність атак, ця асиметрія швидко виходить з рівноваги.

Люта дійсність: DeFi вже став автоматом для виведення грошей хакерами

Переглядаючи безпекові інциденти в DeFi за останні кілька місяців, ви побачите, що занепокоєння Мануеля не є перебільшенням.

Квітень майже найгіршим місяцем в історії DeFi.

  • 1 квітня, в День дурнів, Drift Protocol був ограблений на 280 мільйонів доларів США через компрометацію прав адміністратора та вразливість у виконанні мультипідпису (докладніше: «Смішок на День дурнів? Drift Protocol ограблений на понад 280 мільйонів доларів США, можливо, став другим за величиною DeFi-ограбленням у екосистемі Solana»).
  • Потім 19 квітня Kelp DAO був ограблений на 292 мільйони доларів США через атаку на містовий протокол (докладніше: «DeFi знову ограблений на 292 мільйони доларів США, тепер навіть Aave не безпечний?»), після чого хакер використав Aave та інші позикові протоколи, щоб втекти, що поглибило всі DeFi у тіні неповернених боргів та їхніх побічних наслідків.

А після входу у травень інциденти не зменшилися, а навпаки, ще більше поширилися.

  • 15 травня THORChain зазнав атаки: нові оператори вузлів використали вразливість у схемі порогового підпису GG20 (TSS), щоб перебудувати приватні ключі скарбниці та безпосередньо виконати вихідні транзакції, що призвело до збитків понад 10 мільйонів доларів США.
  • 18 травня Verus зазнав атаки на свій міст, коли нападник підробив跨лановий імпортний payload, обійшовши перевірку та вивівши активи з резервів Ethereum, вкравши близько 11,58 мільйона доларів США.
  • 19 травня на Monad протокол Echo був атакований через витік приватного ключа; атакувач випустив 1000 eBTC (на суму 76,7 млн доларів США) і вивів кошти через раніше протестований шлях через Curvance.
  • 24 травня StablR, емітент компліантних стабільних монет у рамках регуляторної системи MiCA, став жертвою атаки: хакери отримали прибуток понад 2,8 млн доларів США шляхом друку EURR і USDR, що призвело до відміни прив’язки EURR і USDR.
  • 25 травня модуль SquidRouter зазнав атаки, через яку з 86 гаманців Gnosis Safe було вкрадено активи на суму близько 3 мільйонів доларів США.
  • 27 травня приватний ключ розробника StakeDAO був скомпрометований на Arbitrum, зловмисник випустив приблизно 5,45 трильйона vsdCRV і частково обміняв їх на 43,7 ETH для втечі.

Часті випадки безпеки викликали тривогу: від коду ланцюга до позаланцюгового управління, DeFi, схоже, втрачає позиції з усіх боків.

Штучний інтелект став ядерною зброєю хакерів

Чому атаки та захист DeFi цього літа раптово прискорилися? Крім традиційного розвитку хакерських технологій, стрімкий прогрес у здібностях великих моделей ШІ стає остаточним важелем, що порушує рівновагу.

Раніше пошук складної вразливості у смарт-контракті (особливо тієї, що стосується крос-чейн, багаторівневої вкладеності або надзвичайно прихованої логіки повторного виклику) вимагав тижнів або навіть місяців аналізу коду від найкращих хакерів. Однак із дозріванням AI-агентів, які мають надовгий контекст, сильну логічну міркування та здатність автономно викликати інструменти, все це зазнало якісної зміни.

  • Сканування у реальному часі та виявлення «нульових дір» у всій мережі: атакуючим достатньо надати відкритий кодовий репозиторій новій моделі штучного інтелекту для висновків — AI протягом кількох секунд, як досвідчений експерт з безпеки, моделює сотні екстремальних сценаріїв взаємодії та точно виявляє граничні умови, які люди можуть пропустити від втоми.
  • Генерація автоматизованих атакуючих сценаріїв: ШІ не лише виявляє вразливості, а й може автоматично створювати, тестувати та розгортати «хакерські смарт-контракти» для вилучення коштів.
  • Ідеальна синхронізація офлайн-DevOps і соціальної інженерії: AI може виглядати як ідеальний розробник і проводити фішинг, або цілодобово моніторити коміти DeFi-команд у GitHub. Як тільки команда завантажить чутливу інформацію або невідому виправлення коду, AI запустить атаку за кілька секунд — набагато швидше, ніж людський безпековий аналітик зможе відреагувати.

У цій війні безпеки та атак, підсиленій ШІ, хакери мають майже безмежну кількість пуль та швидкість атаки на рівні секунд, тоді як DeFi обмежений повільними процесами управління через голосування, підтвердження мультипідписами та запізнілими аудитами безпеки, що ускладнює відповідь на такі загрози.

Минулого місяця Anthropic, компанія, що розробляє AI за Claude, офіційно оголосила про нове покоління моделі Mythos (докладніше див. статтю «Anthropic створила найпотужнішу на сьогоднішній день модель AI, але не наважується її публікувати…»). Це перша модель в історії людства, загальна кількість параметрів якої перевищила десять трильйонів (у порівнянні з цим, сучасні основні моделі на ринку мають параметри від кількох сотень мільярдів до одного трильйона), а вартість її навчання склала дивовижні 10 мільярдів доларів США.

Однак через спеціалізовані здібності Mythos у сфері кібербезпеки (Anthropic раніше розкрила, що компанія за кілька тижнів використання Mythos виявила тисячі нульових днів), Anthropic не наважується безпосередньо публікувати цю модель, щоб уникнути зловживання з боку хакерських груп, а замість цього планує спочатку запустити програму «Скляле крило» для тестування провідними компаніями та виявлення потенційних уразливостей.

Наразі ситуація з безпекою DeFi залишається надзвичайно серйозною, важко уявити, які нові загрози зустріне промисловість після публікації Mythos.

Найбільша проблема: співвідношення ризику та прибутку давно втратило баланс

Для звичайних учасників DeFi, постачальників ліквідності (LP) та великих інвесторів зараз найважливіше — сісти й розрахувати витрати.

Протягом тривалого часу користувачі вибирали депонування коштів у DeFi, прагнучи отримати річну доходність у кілька разів вищу, ніж у традиційній фінансовій системі. У періоди бичого ринку або безумства ліквідності-майнінгу, доходність 10%, 20% або навіть вище достатньо покривала психологічне сприйняття «потенційних технологічних ризиків».

Але сьогодні ця базова логіка вже була підірвана або навіть спростована: співвідношення ризику та дохідності DeFi вже не врівноважене. З боку доходів, з переходом ринку до гри з обмеженими ресурсами та збільшенням безпечного запасу, реальна дохідність більшості основних, відносно надійних DeFi-протоколів вже знизилася до однозначного діапазону. З боку ризику, основний капітал користувачів виставлений на ризик у чорному ящику, який може бути миттєво розкритий за допомогою AI або спустошений за допомогою блискавичного кредиту; якщо протокол стає жертвою хакерської атаки, токени можуть обнулитися, а ліквідність — вичерпатися за кілька хвилин, і ніякий закон, страхування чи центральний банк не зможуть забезпечити компенсацію.

Ризик втратити 100% власного капіталу для отримання приблизно 5% річної доходності — це зовсім не вигідна угода.

Слова Мануеля, можливо, звучать дещо категорично, але вони зняли останнє прикриття DeFi. Перед реальністю, коли хакери вже використовують ШІ як звичайну зброю, а безпекові інциденти в галузі стають все частішими, якщо ви не готові психологічно до втрати 100% свого капіталу за певний дохід, то «якомога швидше вивести кошти та забезпечити прибуток» — це, ймовірно, найраціональніший та найбільш відповідний принципам управління ризиками вибір у поточному ринковому циклі.

Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації. Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.