درجة ثقة المجتمعموثّق
التمويل اللامركزي (DeFi) في مأزق. في 27 مايو، نصح مانويل أراؤوز، الشريك المؤسس والرئيس التقني السابق لشركة OpenZeppelin، المستثمرين بسحب أموالهم من منصات التمويل اللامركزي الكبرى — مثل Aave وMakerDAO وCompound — محذرًا من أن وكلاء البرمجة بالذكاء الاصطناعي جعلوا من السهل بشكل كبير على المهاجمين العثور على نقاط ضعف قابلة للاستغلال في العقود الذكية. التهديد لم يعد نظريًا.
الأرقام سيئة. خلال العام الماضي، استنزفت الهجمات أكثر من 1.1 مليار دولار من قطاع التمويل اللامركزي. كان شهر أبريل قاسيًا بشكل خاص — حيث فقد 635 مليون دولار عبر 28 هجومًا منفصلًا. هذا النزيف المستمر دفع القيمة الإجمالية المقفلة في القطاع للانخفاض من 172 مليار دولار في منتصف أبريل إلى 148 مليار دولار الآن. ومع بقاء بيتكوين (BTC) بالقرب من 72,000 دولار وتذبذب المعنويات في السوق، فإن الضغط المالي وارتفاع تعقيد الهجمات يضربان التمويل اللامركزي من اتجاهين في وقت واحد.
الذكاء الاصطناعي هو في الأساس المفتاح العظمي الجديد.
لماذا يجعل الذكاء الاصطناعي الهجمات أرخص وأسرع
أشارت شركة رأس المال الاستثماري a16z إلى كيف يمكن لوكلاء الذكاء الاصطناعي تحديد نقاط الضعف الحرجة في كود التمويل اللامركزي — نفس أنواع الضعف التي أدت إلى الهجمات الكبرى السابقة. ما كان يتطلب خبرة تقنية عميقة أصبح الآن يتطلب أقل بكثير. هذه هي المشكلة الأساسية. المهاجمون الذين لم يتمكنوا سابقًا من عكس هندسة نقاط الضعف في العقود الذكية يمكنهم الآن الاعتماد على أدوات الذكاء الاصطناعي للقيام بالعمل الشاق. لقد انخفض حاجز الدخول لشن هجوم جاد، وربما بشكل كبير.
تحذير أراؤوز لم يكن غامضًا. لقد ذكر بالتحديد Aave وMakerDAO وCompound — وهي من أكثر البروتوكولات رسوخًا وتدقيقًا في المجال. إذا كان قلقًا بشأن هؤلاء، فمن الصعب الجدال بأن البروتوكولات الأصغر أو الأحدث آمنة. موقفه يشبه إلى حد كبير إطلاق إشارة إنذار في الصناعة.
لكن ليس الجميع يتفق على أن الرد الصحيح هو الابتعاد.
رد مؤسس Aave، ستاني كوليشوف، مشيرًا إلى تحسين البنية التحتية عبر القطاع — محركات المخاطر الأفضل، عمليات التدقيق الأكثر صرامة، أنظمة المراقبة الأقوى. لدى OpenZeppelin، الشركة الأمنية التي شارك أراؤوز في تأسيسها، قراءتها الخاصة عن الإخفاقات الأخيرة: معظم الاختراقات لا تحدث بسبب عيوب في كود العقود الذكية نفسه. إنها تحدث من خلال سرقة المفاتيح الخاصة، والهندسة الاجتماعية، وإخفاقات التحكم في الوصول. إخفاقات تشغيلية، وليست إخفاقات في الكود. هذا تمييز ذو معنى، حتى لو لم يجعل الخسائر أقل إيلامًا.
خطة الدفاع بالذكاء الاصطناعي للتمويل اللامركزي
بعض البروتوكولات لا تنتظر. قامت Uniswap بطرح منصة مطورين مدمجة بالذكاء الاصطناعي مصممة لتسهيل عمليات النشر الآمنة من البداية. قدمت OpenZeppelin أدوات جديدة تساعد وكلاء الذكاء الاصطناعي في توليد العقود الذكية باستخدام مكتبات أمان محدثة — الهدف هو تقليل الاعتماد على بيانات التدريب القديمة التي قد تنتج كودًا ضعيفًا. كلا التحركين هما اعترافات مباشرة بأن التطوير المدفوع بالذكاء الاصطناعي موجود سواء أحب القطاع ذلك أم لا.
وضع الرئيس التنفيذي لشركة Cyvers، ديدي لافيد، الأمر ببساطة: البيئة تتجه نحو الذكاء الاصطناعي ضد الذكاء الاصطناعي. يستخدم المهاجمون الذكاء الاصطناعي للعثور على نقاط الضعف. يستخدم المدافعون الذكاء الاصطناعي لاكتشافها وإيقافها. لاحظت منصة التداول المدفوعة بالذكاء الاصطناعي Nansen أن البروتوكولات الكبرى تعتمد على أدوات الذكاء الاصطناعي للدفاع بدلاً من التراجع عن التطوير المفتوح المصدر تمامًا.
على الجانب التشغيلي، يضيف القطاع قواطع الدوائر، ومراقبة المعاملات، وضوابط التوقيع المتعدد. هذه ليست مثيرة، لكنها عملية. يمكن لقاطع الدائرة أن يوقف أو يبطئ النشاط المريب لفترة كافية ليتمكن فريق الأمان من تقييم ما يحدث قبل أن تتفاقم الأضرار الحقيقية. تضيف ضوابط التوقيع المتعدد نقاط تفتيش بشرية إلى ما هي في الأساس أنظمة مؤتمتة. هناك مفارقة في ذلك — إدخال المزيد من التقدير البشري في الأنظمة المصممة خصيصًا لإزالته — لكن البديل يبدو أسوأ.
يؤطر ريتشارد ليو، الشريك المؤسس لـ Huma Finance، التحدي بشكل مختلف. يقارن الوضع بأيام التجارة الرقمية الأولى، عندما كان الاحتيال منتشرًا ولم تقض الصناعة عليه بقدر ما بنت أنظمة لإدارته واحتوائه. يركز على تقليل الأضرار من الإخفاقات التي ستحدث على الأرجح على أي حال — الكشف في الوقت الفعلي، حدود المعاملات، إدارة المفاتيح القوية. ليس الوقاية كحل كامل. الاحتواء.
المطور في Yearn Finance، بانتيغ، أكثر حذرًا، موصيًا المستخدمين بالالتزام بالبروتوكولات الناضجة ذات السجلات الأمنية المثبتة. البروتوكولات الجديدة، مهما كانت واعدة، تحمل مخاطر غير معروفة أكثر في الوقت الحالي.
وهذا التوتر — بين الانفتاح وعدم الحاجة للإذن الذي يحدد التمويل اللامركزي والضوابط اللازمة لمنعه من النزيف — لن يختفي. تعمل قواطع الدوائر. يعمل التوقيع المتعدد. لكنهم أيضًا يعنيون أن شخصًا ما، في مكان ما، لديه مفتاح القتل. هذا أمر صعب التوفيق مع المنطق المؤسس للتمويل اللامركزي.
مكتبات الأمان الجديدة للعقود الذكية من OpenZeppelin متاحة للمطورين الذين يبنون على البروتوكولات الرئيسية للتمويل اللامركزي.
المركز: سعر AAVE، الأخبار، والتحليل
الأسئلة الشائعة
ماذا قال مانويل أراؤوز عن أمان التمويل اللامركزي؟
في 27 مايو، نصح أراؤوز، الشريك المؤسس والرئيس التقني السابق لشركة OpenZeppelin، المستثمرين بالخروج من منصات مثل Aave وMakerDAO وCompound، محذرًا من أن وكلاء البرمجة بالذكاء الاصطناعي جعلوا من السهل بشكل كبير على المهاجمين العثور على نقاط الضعف واستغلالها.
كم خسر التمويل اللامركزي من الهجمات مؤخرًا؟
فقد القطاع أكثر من 1.1 مليار دولار بسبب الاستغلالات في العام الماضي، حيث كان شهر أبريل وحده مسؤولًا عن 635 مليون دولار عبر 28 هجومًا، مما دفع القيمة الإجمالية المقفلة للانخفاض من 172 مليار دولار إلى 148 مليار دولار.
