Криптовалютные проекты в секторе децентрализованных финансов (DeFi) в последнее время столкнулись с волной инцидентов в области безопасности, и теперь одна из самых ранних фигур в аудите смарт-контрактов заявила, что всё пространство DeFi небезопасно. Эту точку зрения высказал в X Мануэль Араос, соучредитель OpenZeppelin. Он зашел так далеко, что в частном порядке посоветовал друзьям и семье выйти из всех позиций в DeFi, включая те, что многие считают низкорисковыми «голубыми фишками», такими как Aave, MakerDAO и Compound.
Араос назвал достижения в области искусственного интеллекта основной причиной такого сдвига в надежности и доверии к приложениям DeFi. «Агенты по кодированию сверхчеловечески хороши в поиске уязвимостей, а безопасность смарт-контрактов слишком асимметрична: защитники должны исправить каждый баг, тогда как атакующим нужен всего один эксплойт, чтобы украсть средства», — пояснил он.
В конце прошлого года Anthropic опубликовала данные, показывающие, что агенты ИИ стали намного более способными обнаруживать и потенциально использовать ошибки в криптографических смарт-контрактах. На том этапе прогресс в основном касался проблем, которые уже были выявлены людьми. Ситуация изменилась в начале этого года с выпуском модели Mythos от Anthropic. Эта система настолько мощная, что Anthropic держит ее под строгим контролем и предоставляет только ограниченной группе партнеров. По данным Anthropic, она обнаружила критические ошибки в программном обеспечении, которое работало в производственных средах десятилетиями без того, чтобы кто-либо заметил эти недостатки. Из-за последствий для безопасности в криптопространстве биржи, такие как Coinbase, по сообщениям, обратились к Anthropic, чтобы получить доступ к Mythos.
В подтверждение слов Араоса, крупный взлом DeFi в прошлом году нагнал страх на сектор DeFi, поскольку он затронул уязвимость в смарт-контракте, который работал в реальных условиях годами, пережил несколько аудитов и имел репутацию надежного. Сам взлом на сумму 120 миллионов долларов развернулся таким образом, что напоминал схему сбора мелочи из фильма Office Space.
Совсем недавно апрель стал худшим месяцем по объему крипто-взломов, инциденты происходили почти ежедневно. Северная Корея была связана с подавляющим большинством средств, украденных в результате этих атак в этом году, хотя режим выступил с редким опровержением причастности в прошлом месяце.
Только в прошлые выходные произошел еще один инцидент, когда система эмитента стейблкоинов StablR была скомпрометирована. Настройка полагалась на мультиподписной кошелек 1 из 3 для минтинга, что означало, что один ключ мог одобрять действия, и злоумышленник получил контроль над одним ключом, добавил себя в качестве администратора, удалил законных операторов и отчеканил необеспеченные стейблкоины на сумму около 13,5 миллионов долларов. Они обменяли токены на децентрализованных биржах и ушли с примерно 1115 эфирами, стоимость которых на тот момент составляла около 3 миллионов долларов.
Как показывает инцидент со StablR, в реальности далеко не все взломы связаны с ошибками в смарт-контрактах. Социальная инженерия и централизованные векторы атак часто играют решающую роль даже в проектах, которые позиционируют себя как децентрализованные. Административные привилегии, сбои в управлении ключами и плохая операционная безопасность часто открывают двери шире, чем любая ошибка в коде.
Несмотря на то, что эти централизованные точки оказались повторяющимися слабыми звеньями, некоторые участники криптоиндустрии согласны с Араосом в том, что своего рода «ограниченный» DeFi может быть единственным реалистичным путем вперед на данный момент. Уттам Сингх, старший инженер по связям с разработчиками в провайдере блокчейн-инфраструктуры Alchemy, призвал к введению аварийных выключателей, таймлоков на изменения, советов по безопасности с полномочиями по экстренной остановке и ограничений на листинг новых активов. Он утверждал, что отрасль просто еще недостаточно зрелая, чтобы работать без этих мер предосторожности на данный момент.
Другие резко возразили. Основатель Aave Chan Initiative Марк Зеллер назвал позицию Араоса «идиотским заявлением», отметив, что менее 10% проблем DeFi за последний год были вызваны фактическим кодом. Некоторые критики пошли дальше и назвали комментарии Араоса не более чем маркетингом страха в интересах OpenZeppelin. Араос уточнил, что никогда не ограничивал проблему только кодом смарт-контрактов, а говорил о более широкой безопасности, которая включает параметры, дизайн механизмов и opsec. «Агенты по кодированию сверхчеловечески хороши в поиске этих уязвимостей тоже, и мой тезис верен», — написал он.
Следует отметить, что OpenZeppelin выступил в X, чтобы прояснить, что комментарии Араоса не соответствуют официальной позиции компании по этому вопросу, поскольку Араос покинул компанию в 2019 году. Основатель Uniswap Хейден Адамс и основатель Aave Стани Кулечовтакже указали, что те же инструменты ИИ, которые используют злоумышленники, могут быть использованы и для защиты, что, по иронии судьбы, должно со временем сделать эти системы еще более устойчивыми и безопасными. «DeFi постоянно развивается, но притворяться, что индустрия не достигла значительного прогресса, или что ИИ является исключительно чистым злом для безопасности DeFi, просто неверно», — написал Кулечов в X. «Те же возможности ИИ, которые используют атакующие, все чаще применяются исследователями безопасности, аудиторами и белыми хакерами для укрепления протоколов. DeFi Победит»
turing completeness is a bitch https://t.co/ZCs1yRTrSx
— Alex B 👾 (@bergealex4) May 27, 2026
Считается, что сам Биткоин в некоторой степени более защищен от того же класса атак, управляемых ИИ. Ethereum и аналогичные платформы полагаются на языки смарт-контрактов с полной по Тьюрингу функциональностью, такие как Solidity, и эта конструкция позволяет создавать высокосложную, изменяющуюся логику с бесчисленным множеством возможных взаимодействий, что резко расширяет поверхность атаки. Скриптовый язык Биткоина, напротив, намеренно не является полным по Тьюрингу и призван сохранить систему более простой и предсказуемой.
Тем не менее, компания Block Джека Дорси уже запустила инициативу под названием Project Loupe, которая использует агентов ИИ для проактивного сканирования программного обеспечения с открытым исходным кодом, связанного с Биткоином, на предмет уязвимостей, подобно тому, о чем говорили Адамс и Кулечов в качестве контраргумента к утверждениям Араоса. Проект генерирует подробные отчеты с тестовыми примерами proof-of-concept и предлагает бесплатное сканирование в качестве услуги, чтобы помочь мейнтейнерам оставаться на шаг впереди. Цель состоит в том, чтобы обратить асимметрию, предоставив защитникам те же мощные инструменты, которые уже используют злоумышленники.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Kyle Torpey
