„Kogu DeFi on ebakindel,“ hoiatab arendaja, kui AI-agendid muudavad turvaohte

Rünnakute teostajad võtsid turvalisusuuringute ettevõtte ExVul andmetel ligikaudu 200 000 dollarit DeFi likviidsusfondidest Ethereumil – täpsemalt Uniswap V3-l – välja, kasutades ära WUSD.fi ja GLOVE stiimulisüsteemi nõrkusi.

Rünnakute teostajad tsüklisid vahendeid mitme konto kaudu, et korduvalt saada preemiaid, kasutades ära protokolli stiimulisüsteemis sisalduvaid puudusi.

Ekosüsteemi tabanud rünnakute laine

Sellest juhtumist oli üks mitmest, mis on viimastel päevadel DeFi-valdkonda kohutanud. Sellel nädalal ilmusid ka petturlikud Google-reklaamid, mis tegid ette Uniswapi, suunates uskumatuid kasutajaid valeselt phishing-veebilehtedele, mille eesmärk oli varastada rahakoti autentimisteave – seda pettust teatati olevat enne selle tuvastamist vähemalt 400 000 dollari väärtuses.

Järjestikused juhtumid põhjustasid avatud üldise hoiatuse OpenZeplini asutaja Manuel Aráozilt, kes on üks tööstuses kõige laialdasemalt kasutatavatest nutikate lepingute turvalisuse ettevõtetest.

Aráoz ütles, et ta peab praegu kogu DeFi valdkonna ebaturvaliseks – see avaldus levitas kiiresti arendusringkondades pärast selle postitamist veebis.

Tema põhjendus puudutab põhiprobleemi, mis on seotud blokkahela turvalisusega. Kaitsemeeskonnal tuleb leida ja parandada iga üksik tõrge, samas kui rünnakute teostajal piisab ainult ühest tõrgest, et protokoll täielikult tühi tühjendada.

AI-tööriistad muudavad tasakaalu

Aráoz nimetas põhjuseks, miks tasakaalu hooldamine on muutunud keerulisemaks, AI-ga toetatud programmeerimistööriistad. Teatuste kohaselt usub ta, et need tööriistad võimaldavad rünnakute teostajatel skaneerida lepinguid nõrkuste järgi kiiruse ja mahuga, mida enamik turvalisusmeeskondi ei suuda järgida.

Ta läks privaatses suhtluses veel kaugemale ja soovitas aruande kohaselt oma sõpradele ja sugulastele tõmmata oma vahendid täielikult suurtest DeFi-platvormidest, sealhulgas Aave’st, MakerDAO-st ja Compound’ist. Need kolm platvormi moodustavad olulise osa kogu deentraliseeritud finantsvaldkonnas lukustatud väärtusest.

Küberkaitseanalüütikud on esitanud sarnaseid mureküsimusi ning hoiatavad, et AI kiirendab rünnakute teostajate võimet kaardistada tõrkeid, luua phishing-infrastruktuuri ja käivitada simulatsioone rünnakustrateegiate kohta elus protokollide vastu.

Probleem süveneb sellepärast, kuidas tänapäevased DeFi-protokollid on ehitatud. Paljud neist kasutavad üksteise peale paigutatud mitmeid komponente – sildu, laenamissüsteeme, pangandusmehhanisme ja automaatselt toimivaid preemialepinguid – ja iga lisanduv kiht suurendab kaitstava pinna pindala.

OpenZeppelin ise on varem juba tähelepanu juhtinud sellele, kui ohtlikud need kombinatsioonid võivad olla, tuues välja tõrke, mis tekkis ERC-2771 ja Multicall standardite interaktsioonist – kaks laialdaselt kasutatavat lepingutüüpi, mis koos kasutatuna tekitasid ebasoovitud kokkupuutevõimaluse.

Suured protokollid on reageerinud, panustades ressursse auditi, vigade auhindade programmidesse ja formaalsesse verifitseerimisse. Teatuste kohaselt ei ole isegi need pingutused täielikult suutnud sulgeda ukse phishing-rünnakute ja stiimulite manipuleerimise skeemide ees.

Üleüldine mure on nüüd selles, kas väiksemad DeFi-projektid – need, kellel puudub pidevate turvalisusülevaadete jaoks vajalik eelarve – suudavad vastu pidada rünnakute teostajatele, kes liiguvad endast kiiremini.

Esilekutsutud pilt Binance’ist, diagramm TradingView’ist