Po Kelp, DeFi stoi przed problemem AI, którego jeszcze nie zaczął wyceniać

Zdecentralizowane finanse właśnie przeżyły najgorsze dwa tygodnie w historii. Wyciek 292 milionów dolarów z mostu restakowanego etheru Kelp DAO w weekend, po exploicie Drift Protocol o wartości 285 milionów dolarów 1 kwietnia, spowodował, że łączne straty DeFi w kwietniu przekroczyły 580 milionów dolarów — i wywołał odpływ 6 miliardów dolarów tylko z Aave, gdy deponenci pośpiesznie wycofywali środki.

Bitcoin ze swej strony ledwo drgnął, handlując w pobliżu 75 000 dolarów, gdy trwało zarażenie. Ale spokój sektora maskuje głębszy problem. Atakujący Kelp nie złamał kryptografii ani nie znalazł zero-day w inteligentnym kontrakcie. Wykorzystali wybór konfiguracji w weryfikatorze międzyłańcuchowym, oszukali warstwę komunikacyjną LayerZero, by przepuściła sfałszowaną instrukcję, i wyemitowali 116 500 rsETH z powietrza na Ethereum. Kontrakty, jak ujął to jeden post-mortem dla deweloperów, nie zostały złamane — warstwa weryfikacyjna była. To rozróżnienie ma znaczenie, ponieważ kolejna klasa atakujących nie będzie potrzebować błędów konfiguracji. Będą mieli AI.

Aave spadło na wiadomości, Źródło: BNC

Wrogi okres i topniejąca przewaga

Natychmiastowy obraz jest brzydki. Exploit Kelp jest teraz największym hackiem DeFi w 2026 roku, przewyższając Drift o około 7 milionów dolarów. Mniejsze wycieki w CoW Swap, Zerion, Rhea Finance i Silo Finance wypełniły tygodnie pomiędzy. Firma zajmująca się bezpieczeństwem blockchain Cyvers oszacowała całkowite straty kryptowalut w Q1 na około 482 miliony dolarów; ta liczba jest już mocno nieaktualna. Całkowita wartość zablokowana w Aave spadła z 26,4 miliarda dolarów 18 kwietnia do poniżej 20 miliardów dolarów do niedzielnego poranka w godzinach handlu USA, według DefiLlama, a token AAVE stracił ponad 18% w weekend, gdy deponenci próbowali pożyczyć swoją drogę z zamrożonych rynków rsETH.

Stani Kulechov, założyciel Aave, szybko zauważył, że własne kontrakty protokołu nie zostały naruszone. To prawda i jest to też marne pocieszenie: Aave zaakceptowało rsETH jako zabezpieczenie, zabezpieczenie tego kolateralu wyparowało na moście, którego Aave nie kontroluje, a około 196 milionów dolarów złego długu siedzi teraz w największym pożyczkodawcy w DeFi. Protokoły, w tym SparkLend, Fluid i earnETH Lido, zawiesiły rynki rsETH lub wstrzymały nowe depozyty, podczas gdy wyjaśniają swoją ekspozycję.

Szersza lekcja, którą wyciągają budowniczy, jest strukturalna. Elastyczne, modułowe bezpieczeństwo międzyłańcuchowe — gdzie poszczególne projekty wybierają własne zestawy weryfikatorów — może zapaść się do pojedynczego punktu awarii, jeśli konfiguracja się poślizgnie. "Obserwujemy powtarzające się, identyczne próby exploitów w wielu kontraktach jednocześnie," powiedział Stephen Ajayi, kierownik techniczny audytu dapp w firmie zajmującej się bezpieczeństwem blockchain Hacken, w rozmowie z DL News na początku tego miesiąca, opisując wzorzec, który jego zdaniem był zgodny ze skryptowym, sterowanym przez agentów sondowaniem kontraktów DeFi.

Co AI już zrobiło w laboratorium

Język Ajayiego ma znaczenie. Obawa w kręgach bezpieczeństwa DeFi nie polega już na tym, że atakujący w końcu zautomatyzują. Polega na tym, że już to zrobili, i że ekonomia wyścigu zbrojeń po cichu się odwróciła.

Czerwony zespół Anthropic opublikował pod koniec zeszłego roku badania, w których modele graniczne — Claude Opus 4.5, Claude Sonnet 4.5 i GPT-5 OpenAI — zostały wypuszczone na benchmark 405 rzeczywistych inteligentnych kontraktów wcześniej wykorzystanych między 2020 a 2025 rokiem. Agenci wspólnie wyprodukowali działające exploity o wartości 4,6 miliona dolarów przeciwko kontraktom, które były późniejsze niż ich punkty odcięcia szkolenia. Pchnięte dalej, te same modele zostały skierowane na 2 849 nowo wdrożonych kontraktów bez znanych luk i znalazły dwa nowe błędy, produkując exploity o wartości 3 694 dolarów przy wydatkach na wnioskowanie wynoszących 3 476 dolarów. Badacze opisali wynik jako dowód koncepcji, że autonomiczne, rentowne wykorzystanie jest teraz technicznie możliwe.

Anthropic pokazuje, że modele AI coraz częściej znajdują więcej exploitów DeFi, Źródło: Anthropic

Oddzielny benchmark od firmy zajmującej się bezpieczeństwem AI Cecuro, obejmujący 90 kontraktów DeFi wykorzystanych między końcem 2024 a początkiem 2026 roku, wykazał, że specjalnie zbudowany agent bezpieczeństwa wykrył luki w 92% z nich, w porównaniu z 34% dla agenta kodującego ogólnego przeznaczenia uruchamiającego ten sam podstawowy model. Średni koszt skanowania zasilanego AI, według badania, wynosi obecnie około 1,22 dolara na kontrakt. Zdolność do exploitów, według tej samej miary, wydaje się mniej więcej podwajać co 1,3 miesiąca.

To jest liczba, która powinna niepokoić alokatorów. Rynek, na którym każdy działający kontrakt przechowujący fundusze może być sondowany za grosze, przez oprogramowanie, które stale się poprawia, nie jest rynkiem, na którym jednorazowy audyt przed wdrożeniem zapewnia znaczącą ochronę.

Model, którego Anthropic nie sprzeda

Ryzyko nie jest tylko teoretyczne, ze względu na to, co już znajduje się w laboratoriach. Claude Mythos Preview Anthropic — ujawniony na początku tego miesiąca i ograniczony do koalicji około 40 sprawdzonych partnerów przedsiębiorstw i rządów w ramach Project Glasswing — już zidentyfikował tysiące wcześniej niewykrytych zero-days w każdym głównym systemie operacyjnym i każdej głównej przeglądarce, w tym 27-letnią lukę w OpenBSD, która przetrwała miliony wcześniejszych skanów. BNC szczegółowo opisał wówczas, dlaczego ta zdolność jest bardziej pilnym problemem dla DeFi niż długotrwała debata o obliczeniach kwantowych: bazy kodu DeFi są z założenia open-source, co czyni je dokładnie tym rodzajem celu, który modele klasy Mythos mogą czytać od początku do końca z prędkością maszyny.

Własne ujęcie Anthropic jest wymowne. Firma odmówiła udostępnienia Mythos publicznie i w zeszłym tygodniu wypuściła model komercyjny, Claude Opus 4.7, wyraźnie opisany jako "mniej ogólnie zdolny" w zadaniach cyberbezpieczeństwa niż system trzymany wewnątrz Glasswing. To jest ustępstwo, że publiczne wydanie przesunęłoby równowagę atakujący–obrońca w złym kierunku.

Wycena asymetrii

Postawa bezpieczeństwa DeFi nie nadążyła. Zdolność ubezpieczenia on-chain pozostaje mierzona w setkach milionów dolarów, w zestawieniu z sektorem o łącznej wartości zablokowanej wynoszącej około 100 miliardów dolarów. Rynek audytów nie może nadążyć za wolumenem wdrożeń kontraktów, a kompozycyjność stale poszerza powierzchnię, którą obrońcy muszą pokryć. Regulatorzy, w tym UE w ramach MiCA, zaczęli formalizować wymagania dotyczące ujawniania informacji, ale żaden jeszcze nie nakazuje ciągłych testów adversarialnych lub egzekwowania runtime dla protokołów o wysokim TVL.

Budowniczy warci słuchania zbiegają się w tej samej krótkiej liście. Traktuj każdą aktualizację i integrację jako świeżą powierzchnię ataku. Spraw, by testowanie adversarialne było ciągłe, a nie jednorazowym kamieniem milowym audytu. Segmentuj granice zaufania, tak aby pojedyncze naruszenie — czy to źle skonfigurowany weryfikator, jak w Kelp, czy exploit wspomagany modelem jutro — nie mogło kaskadowo rozprzestrzenić się przez stos pożyczkowy. I wyceniaj postawę bezpieczeństwa w decyzjach alokacyjnych tak, jak menedżerowie kredytowi wyceniają ryzyko niewypłacalności.

Skutki Kelp rozwiążą się w ten czy inny sposób. Jakiś procent skradzionego etheru może jeszcze zostać odzyskany, a rezerwa Umbrella Aave może być zmuszona do wchłonięcia deficytu. Deponenci w końcu wrócą. To, co się nie odwróci, to krzywa kosztów. Po raz pierwszy zdolny przeciwnik nie potrzebuje już zespołu badawczego, zero-day i sześciocyfrowego budżetu, aby wysuszyć protokół DeFi. Potrzebują kilkuset dolarów kredytów na wnioskowanie i listy celów.

Pytanie branży na resztę 2026 roku brzmi, czy jej obrona może się składać szybciej niż ta zdolność.