„Całe DeFi jest niebezpieczne" – ostrzega deweloper, gdy agenci AI zmieniają krajobraz zagrożeń bezpieczeństwa

Atakujący wyprowadzili szacunkowo 200 000 dolarów z pul płynności DeFi na Ethereum — konkretnie z Uniswap V3 — po wykorzystaniu słabości w systemie motywacyjnym WUSD.fi i GLOVE, według badaczy bezpieczeństwa z ExVul.

Atakujący przepuszczali środki przez wiele portfeli, aby wielokrotnie zbierać nagrody, wykorzystując luki wbudowane w strukturę motywacyjną protokołu.

Fala Ataków Uderzających w Ekosystem

Ten incydent był jednym z kilku, które wstrząsnęły przestrzenią DeFi w ostatnich dniach. Wcześniej w tym tygodniu pojawiły się również fałszywe reklamy Google podszywające się pod Uniswap, kierujące niczego niepodejrzewających użytkowników na strony phishingowe zaprojektowane w celu kradzieży danych uwierzytelniających portfela — oszustwo, które według doniesień wyciągnęło co najmniej 400 000 dolarów, zanim zostało wykryte.

Następujące po sobie incydenty stworzyły grunt pod bezpośrednie publiczne ostrzeżenie od Manuela Aráoza, założyciela OpenZeppelin, jednej z najszerzej stosowanych firm zajmujących się bezpieczeństwem inteligentnych kontraktów w branży.

Aráoz stwierdził, że obecnie uważa całe DeFi za niebezpieczne — oświadczenie, które szybko rozprzestrzeniło się w kręgach deweloperów po tym, jak opublikował je online.

Jego rozumowanie dotyka podstawowego problemu w sposobie działania bezpieczeństwa blockchain. Obrońcy muszą znaleźć i załatać każdą pojedynczą lukę, podczas gdy atakującemu wystarczy jedna, aby całkowicie opróżnić protokół.

Narzędzia AI Zmieniające Równowagę

Aráoz wskazał na narzędzia do kodowania oparte na AI jako powód, dla którego utrzymanie tej równowagi stało się trudniejsze. Doniesienia wskazują, że uważa on, iż narzędzia te pozwalają atakującym skanować kontrakty w poszukiwaniu słabości z prędkością i w skali, której większość zespołów bezpieczeństwa nie jest w stanie dorównać.

Poszedł dalej w prywatnej komunikacji, podobno doradzając przyjaciołom i rodzinie, aby całkowicie wycofali swoje środki z głównych platform DeFi, w tym z Aave, MakerDAO i Compound. Te trzy platformy stanowią znaczną część całkowitej wartości zablokowanej w zdecentralizowanych finansach.

Analitycy cyberbezpieczeństwa wyrazili podobne obawy, ostrzegając, że AI przyspiesza tempo, w jakim atakujący mogą mapować luki, budować infrastrukturę phishingową i przeprowadzać symulowane strategie exploitów przeciwko działającym protokołom.

Problem jest potęgowany przez sposób, w jaki budowane są nowoczesne protokoły DeFi. Wiele z nich nakłada teraz na siebie wiele komponentów — mosty, systemy pożyczkowe, mechanizmy stakingu, zautomatyzowane kontrakty nagród — a każda dodatkowa warstwa rozszerza obszar powierzchni, który musi być chroniony.

Sam OpenZeppelin wcześniej zwrócił uwagę na to, jak niebezpieczne mogą być te kombinacje, identyfikując lukę wynikającą z interakcji między standardami ERC-2771 i Multicall — dwoma szeroko stosowanymi typami kontraktów, które w połączeniu stworzyły niezamierzone narażenie.

Główne protokoły zareagowały, inwestując zasoby w audyty, programy bug bounty i formalne weryfikacje. Doniesienia wskazują, że nawet te wysiłki nie zamknęły w pełni drzwi na ataki phishingowe i schematy manipulacji motywacyjnej.

Obecna obawa dotyczy tego, czy mniejsze projekty DeFi — te bez budżetu na ciągłe przeglądy bezpieczeństwa — są w stanie wytrzymać napór atakujących, którzy poruszają się szybciej niż wcześniej.

Wyróżniony obraz od Binance, wykres od TradingView