Предупреждение от одного из первых деятелей безопасности децентрализованной финансовой отрасли (DeFi) перевело сложный период взломов в более широкую оценку способности индустрии защищаться от искусственного интеллекта (AI).
27 мая, Мануэль Араоз, сооснователь и бывший главный технолог OpenZeppelin, посоветовал инвесторам выйти из позиций DeFi, включая экспозицию к уже проверенным заимствованиям протоколов, таких как и.
По словам Араоза, автономные агенты кодирования AI расширили разрыв между атакующими и защитниками, сделав более простым обнаружение уязвимостей на больших масштабах. Он:
“Агенты кодирования являются сверхчеловеческими в поиске уязвимостей, а безопасность смарт-контрактов слишком асимметрична. Защитникам необходимо исправить каждую ошибку, а атакующим достаточно одного эксплуата для похищения средств.
Это предупреждение вызвало отклик из-за давления на более широкую маркетинговую отрасль. За последний год сектор потерял более $1,1 миллиарда в результате эксплуатации, с апрель в апреле !
Эти инциденты безопасности привели к сокращению общего значения, закрепленного в децентрализованной финансовой отрасли с примерно $172 миллиарда в середине апреля до $148 миллиарда по состоянию на момент публикации, что означает пять последовательных недель оттока. Падение также связано с более широкой маркетинговой слабостью, которая достигла $72 000 сегодня
Поскольку уязвимости AI сделали поиски недостатков дешевле, индустрия теперь предстоит решить, может ли AI снизить стоимость атаки на DeFi быстрее, чем отрасль может улучшить ее защиты.
AI снижает стоимость поиска уязвимостей. Предупреждение Араоза подтверждается тем фактом, что искусственный интеллект фундаментально снижает стоимость и усилия, необходимые для маппинга уязвимостей смарт-контрактов.
За последние несколько лет продвинутые модели AI привели к значительному давлению, ускорив выявление уязвимостей, тестирование эксплуатов и оперативную разведку на почти нулевой стоимость.
Рекентные исследования от подтверждают ускорение этой атакующей способности, отметив, что AI-агенты постоянно выявляют основные уязвимости в исторических эксплуатах DeFi.
По мнению компании, даже когда агенты не смогли завершить эксплуат, они часто достигали этапа, который дает атакующим точку старта. инструмент, который надежно выявляет слабые места, может снизить необходимый опыт для начала атаки
достигла аналогичных ограничений доступа к неопубликованным версиям, именно из-за их способности автономно обнаруживать и эксплуатировать программные недостатки.
Для DeFi это имеет значение, поскольку системы для многих протоколов публичны, составные и финансово жидкие. Таким образом, код, структуры управления и интеграции вокруг платформы могут быть изучены открыто для выявления любых уязвимостей.
AI может сделать этот процесс быстрее и дешевле, увеличивая давление на команды, которые все еще Dependently на аудиты, бонусы за ошибки и ручной просмотр.
Лидеры протоколов указывают на более сильную инфраструктуру. Однако опасения по поводу AI привели к возражениям со стороны основателей и компаний безопасности, которые утверждают, что DeFi стал более устойчивым, чем в более ранних циклах.
Компания по безопасности блокчейна, которая многие недавние инциденты безопасности происходили из-за операционных ошибок и не из-за ошибок в проверенном коде контрактов.
По мнению компании, большинство крупных потерь в последние месяцы включали в себя украденные частные ключи, мошенничество с мостами, социальную инженерию и проблемы управления доступом. Этот шаблон говорит о том, что атакующие часто целиковали системы вокруг протоколов, включая команды, разрешения и инфраструктуру.
Основатель Aave сделал аналогичный аргумент. Он сказал, что сегодняшняя инфраструктура DeFi выгоденяется от лучших машин risk, структуры по займам, формальной верификацией, аудитами, бонусами за ошибки, управлением ограничениями, улучшениями илираков, автоматическим мониторингом и цепочками безопасности.
Кулешов said, что большая часть оставшейся поверхности атаки связана с Web2-стильными ошибками в операциях, включая слабые внутренние контролы и процессы инфраструктуры.
Такое мнение совпадает с апрельским волновым эксплуатом, в котором несколько крупных потерь были связаны с украденными ключами, социальной инженерией и проблемами с мостами. Для контекста потеря связана с шестимесячной кампанией по социальной инженерии от.
Основатель компании также возразил против более широкого заключения о том, что DeFi сам по себе стал опасным.
Он утверждает, что смарт-контракты, хорошо построенные, могут поддерживать приложения с сильными свойствами безопасности, тогда как AI скорее выявляет слабый код, спешные запуски и плохие практики разработки.
Эта дистинкция стала центром внимания ответа отрасли. Дебата все больше касается того, какие системы имеют контрольные механизмы, которые могут выдержать, а какие остаются уязвимыми из-за слабых операций, сложных интеграций или ограниченного мониторинга.
Команды DeFi принимают AI в защитный стэк
Хотя возражения основателей не остановили команды от смены подхода к безопасности, — платформа по торговле с помощью AI — заявила, что основные протоколы все еще используют AI-инструменты для защиты, а не отходят от открытое-кодовой разработки.
Это подтверждается Деди Лавидом, главным исполнительным директором Cyvers, который говорит, что отрасль движется в сторону AI-от AI-оценки безопасности.
В этом поле разработчики криптовалют используют те же AI-инструменты для выявления и устранения ошибок до того, как атакующие сделают это.
Недавно OpenZeppelin представила инструменты, которые помогают AI-агентам генерировать смарт-контракты с помощью текущих, проверенных на безопасность библиотек. Цель — снизить зависимость от устаревших данных обучения или опасных шаблонов кода, когда агенты помогают разработчикам.
Uniswap также запустила платформу для разработчиков с интеграцией AI, чтобы сделать безопасные развертывания проще с самого начала.
Эти усилия являются значительными примерами того, как отрасль prepares для агентов AI, способных обнаруживать и эксплуатировать программные недостатки.
Самый быстрый defense — это снижение расстояния, с которым один провал может распространяться
Поворот к AI-ассистенту defense оставляет с более прямой задачей — замедлить атаки до тех пор, пока они не станут полными потерь протокола.
Генеральный директор Cyvers, Лавид, говорит, что статические аудиты на определенном моменте больше не достаточно для протоколов, которые управляют большими пулами средств пользователей. Защитники нуждаются в постоянном мониторинге, реальном симуляторе транзакций и автоматических системах, которые могут замедлить или остановить активность, когда появляется подозритель
По материалам CryptoSlate