«Όλο το DeFi είναι μη ασφαλές», προειδοποιεί προγραμματιστής καθώς οι AI Agents αναδιαμορφώνουν τις απειλές ασφαλείας

Επιτιθέμενοι αποστράγγισαν περίπου 200.000 δολάρια από δεξαμενές ρευστότητας DeFi στο Ethereum — και συγκεκριμένα στο Uniswap V3 — αφού εκμεταλλεύτηκαν αδυναμίες στο σύστημα κινήτρων WUSD.fi και GLOVE, σύμφωνα με ερευνητές ασφαλείας της ExVul.

Οι επιτιθέμενοι κυκλοφορούσαν κεφάλαια μέσω πολλαπλών πορτοφολιών για να συγκεντρώνουν επανειλημμένα ανταμοιβές, εκμεταλλευόμενοι ελαττώματα ενσωματωμένα στη δομή κινήτρων του πρωτοκόλλου.

Ένα Κύμα Επιθέσεων που Πλήττει το Οικοσύστημα

Αυτό το περιστατικό ήταν ένα από τα πολλά που συντάραξαν τον χώρο DeFi τις τελευταίες ημέρες. Δόλιες διαφημίσεις Google που υποδύονταν το Uniswap εμφανίστηκαν επίσης νωρίτερα αυτή την εβδομάδα, ανακατευθύνοντας ανυποψίαστους χρήστες σε ιστότοπους phishing σχεδιασμένους να κλέψουν διαπιστευτήρια πορτοφολιού — μια απάτη που σύμφωνα με αναφορές αποστράγγισε τουλάχιστον 400.000 δολάρια πριν εντοπιστεί.

Τα διαδοχικά περιστατικά έθεσαν τις βάσεις για μια ευθεία δημόσια προειδοποίηση από τον Manuel Aráoz, ιδρυτή του OpenZeppelin, μιας από τις πιο ευρέως χρησιμοποιούμενες εταιρείες ασφάλειας έξυπνων συμβολαίων στον κλάδο.

Ο Aráoz δήλωσε ότι πλέον θεωρεί όλο το DeFi μη ασφαλές, μια δήλωση που διαδόθηκε γρήγορα στους κύκλους προγραμματιστών αφού την ανάρτησε διαδικτυακά.

Η επιχειρηματολογία του αγγίζει ένα βασικό πρόβλημα στον τρόπο λειτουργίας της ασφάλειας blockchain. Οι υπερασπιστές πρέπει να εντοπίζουν και να διορθώνουν κάθε μεμονωμένη ευπάθεια, ενώ ένας επιτιθέμενος χρειάζεται μόνο μία για να αποστραγγίσει πλήρως ένα πρωτόκολλο.

Τα Εργαλεία ΑΙ Αλλάζουν την Ισορροπία

Ο Aráoz επεσήμανε τα εργαλεία κωδικοποίησης που τροφοδοτούνται από ΑΙ ως τον λόγο που αυτή η ισορροπία έχει γίνει πιο δύσκολη να διαχειριστεί. Αναφορές υποδηλώνουν ότι πιστεύει πως αυτά τα εργαλεία επιτρέπουν στους επιτιθέμενους να σαρώνουν συμβόλαια για αδυναμίες με ταχύτητα και κλίμακα που οι περισσότερες ομάδες ασφαλείας δεν μπορούν να εξισώσουν.

Προχώρησε περαιτέρω σε ιδιωτικές επικοινωνίες, συμβουλεύοντας δήθεν φίλους και οικογένεια να αποσύρουν τα κεφάλαιά τους εντελώς από μεγάλες πλατφόρμες DeFi, συμπεριλαμβανομένων των Aave, MakerDAO και Compound. Αυτές οι τρεις πλατφόρμες αντιπροσωπεύουν σημαντικό μερίδιο της συνολικής αξίας που είναι κλειδωμένη στην αποκεντρωμένη χρηματοδότηση.

Αναλυτές κυβερνοασφάλειας εξέφρασαν παρόμοιες ανησυχίες, προειδοποιώντας ότι το ΑΙ επιταχύνει τον ρυθμό με τον οποίο οι επιτιθέμενοι μπορούν να χαρτογραφούν ευπάθειες, να δημιουργούν υποδομές phishing και να εκτελούν προσομοιωμένες στρατηγικές εκμετάλλευσης έναντι ζωντανών πρωτοκόλλων.

Το πρόβλημα επιδεινώνεται από τον τρόπο κατασκευής των σύγχρονων πρωτοκόλλων DeFi. Πολλά πλέον στοιβάζουν πολλαπλά συστατικά το ένα πάνω στο άλλο — γέφυρες, συστήματα δανεισμού, μηχανισμούς staking, αυτοματοποιημένα συμβόλαια ανταμοιβής — και κάθε επιπλέον επίπεδο διευρύνει την επιφάνεια που πρέπει να υπερασπιστεί.

Το ίδιο το OpenZeppelin είχε επισημάνει προηγουμένως πόσο επικίνδυνοι μπορεί να είναι αυτοί οι συνδυασμοί, εντοπίζοντας μια ευπάθεια που προέκυψε από την αλληλεπίδραση μεταξύ των προτύπων ERC-2771 και Multicall, δύο ευρέως χρησιμοποιούμενοι τύποι συμβολαίων που δημιούργησαν ακούσια έκθεση όταν χρησιμοποιήθηκαν μαζί.

Τα κύρια πρωτόκολλα έχουν ανταποκριθεί διοχετεύοντας πόρους σε ελέγχους, προγράμματα bug bounty και επίσημη επαλήθευση. Αναφορές σημειώνουν ότι ακόμη και αυτές οι προσπάθειες δεν έχουν κλείσει πλήρως την πόρτα σε επιθέσεις phishing και σχήματα χειραγώγησης κινήτρων.

Η ανησυχία τώρα είναι αν τα μικρότερα έργα DeFi — εκείνα χωρίς τον προϋπολογισμό για συνεχείς αξιολογήσεις ασφάλειας — μπορούν να αντισταθούν σε επιτιθέμενους που κινούνται πιο γρήγορα από πριν.

Εικόνα από Binance, γράφημα από TradingView