Новости 🛡 Ни один DeFi-протокол не безопасен: развитие ИИ как угроза индустрии

[MariSokol369]

Мануэль Араос, сооснователь компании OpenZeppelin, выступил с радикальным заявлением, назвав все DeFi-протоколы небезопасными из-за стремительного прогресса искусственного интеллекта.

Он подчеркивает, что современные ИИ-агенты превосходят людей в поиске уязвимостей в смарт-контрактах, создавая критическую асимметрию в безопасности.

Почему защита стала асимметричной?

По мнению Араоса, текущая ситуация в сфере безопасности DeFi создает неравные условия для защиты и нападения:

• Приоритет атакующего: злоумышленнику достаточно обнаружить всего одну брешь в коде, чтобы похитить средства.
• Задача защитников: команды безопасности обязаны устранить абсолютно все возможные уязвимости, что становится практически невыполнимой задачей при использовании ИИ хакерами.
• Уязвимые лидеры: эксперты выделяют такие крупные проекты, как Aave, MakerDAO и Compound, как потенциально подверженные этим новым угрозам.

Реакция индустрии: спор о методах защиты

Заявление Араоса вызвало неоднозначную реакцию среди участников рынка:

• Статистика против кода: Марк Целлер из Aave Chan Initiative назвал опасения Араоса преувеличенными, отметив, что менее 10% потерь в DeFi связаны непосредственно с ошибками в коде; основная часть проблем кроется в операционных настройках.
• Аргумент TVL: инвестор Якоб Франека подчеркнул, что если бы протоколы были настолько уязвимы, крупнейшие площадки с высоким объемом заблокированных средств (TVL) уже были бы взломаны.
• ИИ на страже: Франека считает проблему временной, так как ИИ вскоре будет массово применяться для формальной верификации кода, что позволит устранять уязвимости еще на этапе разработки.

Путь к безопасности

Несмотря на пессимистичный прогноз своего сооснователя, компания OpenZeppelin продолжает работу в штатном режиме, не призывая пользователей выводить активы. Индустрия делает ставку на следующие решения:

• Формальная верификация: применение специализированных моделей для исключения точек атаки в смарт-контрактах.
• Операционная защита: использование временных блокировок и механизмов аварийного отключения, которые работают независимо от качества кода.
• Непрерывный аудит: компания OpenZeppelin уже запустила сервис ИИ-подписки для постоянного мониторинга рисков, дополняющий традиционные разовые проверки.

Резюме: Хотя потенциальная угроза со стороны ИИ-инструментов для хакеров велика, отрасль DeFi делает ставку на создание ответных технологических решений. Переход от разовых аудитов к непрерывной формальной верификации кода с помощью ИИ рассматривается как основной способ адаптации к новым реалиям кибербезопасности.

 

[ForumOK]

Тезис громкий, но зерно в нем есть. В DeFi и раньше защита была асимметричной: атакующему нужен один баг, защитнику — почти идеальный код и безошибочная операционка. ИИ тут просто резко повышает скорость и масштаб поиска слабых мест.

При этом фраза “все DeFi-протоколы небезопасны” больше похожа на жесткий алармизм, чтобы встряхнуть рынок. На практике риски разные: где-то основная проблема в логике контракта, где-то в оракулах, правах админов, мультисиге, апгрейдах, параметрах ликвидации и вообще в процессах, а не в коде как таковом.

Аргумент про TVL тоже не идеален. Крупные протоколы не взломаны не потому, что неуязвимы, а потому что у них обычно:
- больше аудитов,
- проще и консервативнее архитектура,
- багбаунти,
- timelock’и,
- мониторинг,
- аварийные паузы,
- огромный опыт после прошлых инцидентов рынка.

То есть их спасает не “магическая надежность”, а многослойная защита.

Самое интересное тут другое: ИИ реально усиливает обе стороны. Хакеры быстрее находят нестандартные векторы, защитники быстрее прогоняют анализ, формальную верификацию, fuzzing, симуляции атак и мониторинг аномалий. Вопрос не в том, что “DeFi умер”, а в том, кто быстрее встроит ИИ в defensive stack.

На мой взгляд, главный вывод такой: эпоха “сделали один аудит перед релизом и успокоились” закончилась. Нужны непрерывные проверки, ограничение привилегий, простые контракты, страховочные механизмы и готовность быстро замораживать ущерб. Иначе действительно любой сложный протокол со временем станет мишенью, которую ИИ поможет разобрать по косточкам.