'Alle DeFi Onveilig,' Waarschuwt Ontwikkelaar Terwijl AI-agenten Beveiligingsdreigingen Hervormen

Aanvallers hebben naar schatting $200.000 weggesluisd uit DeFi-liquiditeitspools op Ethereum — specifiek Uniswap V3 — na het misbruiken van zwakke plekken in het WUSD.fi- en GLOVE-stimuleringssysteem, aldus beveiligingsonderzoekers van ExVul.

De aanvallers sluisden fondsen door meerdere wallets om herhaaldelijk beloningen te farmen, waarbij ze gebruikmaakten van gebreken die ingebakken zitten in de stimuleringsstructuur van het protocol.

Een Golf Van Aanvallen Die Het Ecosysteem Treft

Dat incident was een van de meerdere die de DeFi-ruimte de afgelopen dagen hebben opgeschud. Frauduleuze Google-advertenties die Uniswap imiteerden doken ook eerder deze week op, waarbij nietsvermoedende gebruikers werden doorgestuurd naar phishingsites die waren ontworpen om walletgegevens te stelen — een oplichting waarvan rapporten zeggen dat er minstens $400.000 mee werd weggesluisd voordat het werd opgemerkt.

De opeenvolgende incidenten legden de basis voor een onomwonden publieke waarschuwing van Manuel Aráoz, de oprichter van OpenZeppelin, een van de meest gebruikte smart contract-beveiligingsbedrijven in de industrie.

Aráoz zei dat hij alle DeFi nu als onveilig beschouwt, een uitspraak die snel verspreidde onder ontwikkelaarskringen nadat hij die online plaatste.

Zijn redenering raakt aan een fundamenteel probleem in hoe blockchainbeveiliging werkt. Verdedigers moeten elke kwetsbaarheid vinden en patchen, terwijl een aanvaller er slechts één nodig heeft om een protocol volledig leeg te trekken.

AI-tools Verstoren Het Evenwicht

Aráoz wees op AI-gestuurde codeertools als de reden dat dit evenwicht moeilijker te beheren is geworden. Rapporten geven aan dat hij gelooft dat deze tools aanvallers in staat stellen om contracts te scannen op zwakke plekken met een snelheid en schaal die de meeste beveiligingsteams niet kunnen bijhouden.

Hij ging verder in privécommunicatie en adviseerde naar verluidt vrienden en familie om hun fondsen volledig terug te trekken van grote DeFi-platforms, waaronder Aave, MakerDAO en Compound. Die drie platforms vertegenwoordigen een aanzienlijk deel van de totale waarde die is vergrendeld in gedecentraliseerde financiën.

Cyberbeveiligingsanalisten hebben vergelijkbare zorgen geuit en waarschuwen dat AI versnelt hoe snel aanvallers kwetsbaarheden kunnen in kaart brengen, phishinginfrastructuur kunnen opbouwen en gesimuleerde exploitstrategieën kunnen uitvoeren tegen live protocollen.

Het probleem wordt verergerd door hoe moderne DeFi-protocollen zijn gebouwd. Velen stapelen nu meerdere componenten op elkaar — bridges, leensystemen, stakingmechanismen, geautomatiseerde beloningscontracten — en elke extra laag vergroot het aanvalsoppervlak dat verdedigd moet worden.

OpenZeppelin zelf wees eerder op hoe gevaarlijk deze combinaties kunnen zijn, waarbij een kwetsbaarheid werd geïdentificeerd die voortkwam uit de interactie tussen de ERC-2771- en Multicall-standaarden, twee veelgebruikte contracttypen die bij gezamenlijk gebruik onbedoelde blootstelling creëerden.

Grote protocollen hebben gereageerd door middelen te investeren in audits, bug bounty-programma's en formele verificatie. Rapporten merken op dat zelfs die inspanningen de deur niet volledig hebben gesloten voor phishingaanvallen en manipulatieschema's met stimuleringsregelingen.

De zorg nu is of kleinere DeFi-projecten — die zonder budget voor continue beveiligingsbeoordelingen — stand kunnen houden tegen aanvallers die sneller bewegen dan voorheen.

Uitgelichte afbeelding van Binance, grafiek van TradingView