«Весь DeFi небезопасен», — предупреждает разработчик, пока ИИ-агенты меняют угрозы безопасности

По данным исследователей безопасности из ExVul, злоумышленники похитили около 200 000$ из пулов ликвидности DeFi на Ethereum — в частности, из Uniswap V3 — воспользовавшись уязвимостями в системе стимулирования WUSD.fi и GLOVE.

Злоумышленники прогоняли средства через множество кошельков, чтобы многократно получать вознаграждения, используя уязвимости, заложенные в структуре стимулирования протокола.

Волна атак, потрясающая экосистему

Этот инцидент стал одним из нескольких, потрясших пространство DeFi за последние дни. Ранее на этой неделе также появились мошеннические рекламные объявления в Google, выдававшие себя за Uniswap и перенаправлявшие доверчивых пользователей на фишинговые сайты, созданные для кражи учётных данных кошельков, — по имеющимся сведениям, до того как мошенничество было выявлено, злоумышленники похитили не менее 400 000$.

Череда инцидентов стала поводом для жёсткого публичного предупреждения от Мануэля Арáоса, основателя OpenZeppelin — одной из наиболее широко используемых компаний по безопасности смарт-контрактов в отрасли.

Арáос заявил, что теперь считает весь DeFi небезопасным — это высказывание быстро распространилось в кругах разработчиков после того, как он опубликовал его в сети.

Его аргументация затрагивает фундаментальную проблему в том, как работает безопасность блокчейна. Защитники вынуждены находить и устранять каждую уязвимость, тогда как злоумышленнику достаточно одной, чтобы полностью опустошить протокол.

ИИ-инструменты меняют баланс сил

Арáос указал на инструменты для написания кода на базе ИИ как на причину того, что поддерживать этот баланс становится всё сложнее. По имеющимся данным, он считает, что эти инструменты позволяют злоумышленникам сканировать контракты на наличие уязвимостей с такой скоростью и в таком масштабе, которые большинство команд безопасности не в состоянии обеспечить.

В частных переписках он пошёл ещё дальше, по имеющимся сведениям рекомендуя друзьям и родственникам полностью вывести средства с крупных платформ DeFi, включая Aave, MakerDAO и Compound. Эти три платформы занимают значительную долю общей заблокированной стоимости (TVL) в децентрализованных финансах.

Аналитики в области кибербезопасности выразили аналогичную обеспокоенность, предупреждая, что ИИ ускоряет темпы, с которыми злоумышленники могут выявлять уязвимости, выстраивать фишинговую инфраструктуру и проводить симулированные стратегии эксплойтов против работающих протоколов.

Проблему усугубляет то, как устроены современные протоколы DeFi. Многие из них теперь надстраивают несколько компонентов один поверх другого — мосты, системы кредитования, механизмы стейкинга, автоматизированные контракты вознаграждений — и каждый дополнительный уровень расширяет поверхность атаки, которую необходимо защищать.

Сам OpenZeppelin ранее указал на то, насколько опасными могут быть подобные комбинации, выявив уязвимость, возникшую из-за взаимодействия стандартов ERC-2771 и Multicall — двух широко используемых типов контрактов, которые при совместном использовании создавали непредусмотренную уязвимость.

Крупные протоколы отреагировали, вкладывая ресурсы в аудиты, программы bug bounty и формальную верификацию. По имеющимся данным, даже эти усилия не позволили полностью закрыть дверь перед фишинговыми атаками и схемами манипулирования стимулами.

Сейчас главный вопрос состоит в том, смогут ли небольшие проекты DeFi — те, у которых нет бюджета на постоянные проверки безопасности — устоять перед злоумышленниками, действующими быстрее, чем прежде.

Главное изображение от Binance, график от TradingView