cointelegraph-ru.com
Буквально все DeFi-проекты стоит воспринимать как небезопасные. Об этом заявил учредитель OpenZeppelin Мануэль Араос.
Предприниматель рекомендовал своим друзьям и родственникам в частном порядке закрыть все позиции в DeFi, включая низкорисковые «голубые фишки» вроде Aave (AAVE), MakerDAO (MKR) и Compound (COMP).
К такому радикальному выводу эксперт пришел после осознания «сверхчеловеческой способности» ИИ-агентов выявлять уязвимости.
По словам Араоса, безопасность смарт-контрактов слишком асимметрична. Защитникам приходится исправлять каждую ошибку, в то время как злоумышленникам достаточно одной уязвимости, чтобы похитить средства, пояснил он.
Заявления основателя OpenZeppelin стали рефлексией на серию регулярных атак на DeFi-протоколы.
В апреле произошло более 20 инцидентов безопасности. Одним из наиболее громких стал захват управляющего узла Kelp DAO — злоумышленники вывели $292 млн.
В мае тенденция продолжилась. Среди пострадавших оказались Squid Router, StablR, TrustedVolumes, THORChain, Verus, Echo Protocol и Polymarket.
На этом фоне общий объем заблокированной стоимости (TVL) Aave обвалился до $81,49 млрд. На пике в октябре метрика превышала $171 млрд.
По данным DeFi Llama, за последние десять лет хакеры вывели из DeFi-проектов $17 млрд.
Автоматизация взломов
Возросшие возможности ИИ красноречиво иллюстрирует ситуация вокруг модели Claude Mythos от Anthropic.
Согласно AI Security Institute, Mythos способна «проводить многоэтапные атаки, а также самостоятельно обнаруживать и использовать уязвимости» — задачи, на выполнение которых у профессионалов-людей ушли бы дни.
В рамках закрытого тестирования в Antropic сообщили, что модель нашла «тысячи уязвимостей нулевого дня» в различном ПО и 99% из обнаруженных остались без исправления.
Ранее в Google предупредили, что злоупотребление доступом к LLM переходит на промышленный уровень: злоумышленники создали автоматизированные конвейеры для циклического использования премиум-аккаунтов ИИ, объединения ключей API и обхода защитных барьеров в больших масштабах. Фактически они осуществляют злонамеренные операции за счет пробных учетных записей.