Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Os agentes de IA tornaram inseguro todo o setor DeFi de US$ 148 bilhões?
Um alerta de uma das primeiras figuras de segurança das finanças descentralizadas (DeFi) transformou uma série difícil de hacks em um teste mais amplo de como a indústria pode se defender contra a inteligência artificial (IA).
Em 27 de maio, Manuel Aráoz, cofundador e ex-diretor de tecnologia da OpenZeppelin, aconselhou os investidores a abandonarem as posições DeFi, incluindo a exposição a protocolos de empréstimo estabelecidos, como Aave, MakerDAOe Composto.
De acordo com Aráoz, os agentes autônomos de codificação de IA ampliaram a distância entre atacantes e defensores, tornando mais fácil encontrar vulnerabilidades em escala. Ele escreveu:
“Os agentes de codificação são sobre-humanos na detecção de vulnerabilidades, e a segurança dos contratos inteligentes é muito assimétrica. Os defensores precisam corrigir todos os bugs, enquanto os invasores precisam de apenas uma exploração para roubar fundos.”
O alerta ganhou força porque ocorreu durante um período de pressão para o mercado DeFi mais amplo. No ano passado, o setor perdeu mais de US$ 1,1 bilhão devido a explorações, com abril sendo responsável por US$ 635 milhões em 28 hacks relatados.
Estes incidentes de segurança fizeram com que o valor total bloqueado nas finanças descentralizadas caísse de cerca de 172 mil milhões de dólares em meados de Abril para 148 mil milhões de dólares até ao momento desta publicação, marcando cinco semanas consecutivas de saídas. A descida também pode estar ligada a uma fraqueza mais ampla do mercado, que viu Bitcoin aproxima-se de US$ 72.000 hoje cedo.
Ainda assim, esses números levaram o debate sobre segurança para além dos protocolos individuais e para uma questão mais ampla de saber se a IA reduziu o custo de atacar o DeFi mais rapidamente do que a indústria consegue melhorar as suas defesas.
IA torna mais barata a busca por fraquezas
O alerta de Aráoz baseia-se no facto de que a inteligência artificial reduz fundamentalmente o custo e o esforço necessários para mapear as vulnerabilidades dos contratos inteligentes.
Nos últimos anos, modelos avançados de IA introduziram imensa pressão ao acelerar a descoberta de vulnerabilidades, testes de exploração e reconhecimento operacional a um custo quase zero.
Pesquisa recente de empresa de capital de risco a16z valida essa capacidade ofensiva acelerada, observando que os agentes de IA identificaram consistentemente as principais vulnerabilidades em explorações históricas de DeFi.
De acordo com a empresa, mesmo quando os agentes não conseguiram completar uma exploração, muitas vezes atingiram o estágio que dá aos invasores um ponto de partida. Uma ferramenta que identifique pontos fracos de forma confiável pode reduzir o conhecimento necessário para iniciar um ataque.
Antrópico da mesma forma restringiu o acesso público aos seus inéditos Modelo de Claude Mythos precisamente por causa de sua capacidade de descobrir e transformar falhas de software de forma autônoma.
Para DeFi, este desenvolvimento é importante porque os sistemas para muitos protocolos são públicos, combináveis e financeiramente líquidos. Assim, o código, as estruturas de governança e as integrações em torno de uma plataforma podem ser estudados abertamente para identificar quaisquer vulnerabilidades.
A IA pode tornar esse processo mais rápido e barato, aumentando a pressão sobre as equipes cujas defesas ainda dependem fortemente de auditorias, recompensas por bugs e revisão manual.
Líderes de protocolo apontam para infraestrutura mais forte
No entanto, as preocupações com a IA atraíram resistência por parte dos fundadores e empresas de segurança, que afirmam que o DeFi se tornou mais resiliente do que em ciclos anteriores.
Empresa de segurança Blockchain OpenZeppelin argumentou que muitos incidentes de segurança recentes resultaram de falhas operacionais e não de falhas no código do contrato auditado.
De acordo com a empresa, a maioria das grandes perdas nos últimos meses envolveram roubo de chaves privadas, falsificação de pontes, engenharia social e problemas de controle de acesso. Esse padrão sugere que os invasores muitas vezes têm como alvo os sistemas em torno de protocolos, incluindo equipes, permissões e infraestrutura.
Fundador da Aave Stani Kulechov apresentou um argumento semelhante. Ele disse que a infraestrutura DeFi hoje se beneficia de melhores motores de risco, estruturas de mercado de empréstimos, verificação formal, auditorias, recompensas de bugs, gerenciamento de limites, melhorias de oráculo, monitoramento automatizado e disjuntores.
Kulechov disse que grande parte da superfície de ataque restante envolve lapsos operacionais do tipo Web2, incluindo controles internos e processos de infraestrutura fracos.
Notavelmente, essa visão está alinhada com a onda de exploração de abril, onde várias das maiores perdas estavam ligadas a chaves comprometidas, engenharia social e falhas relacionadas a pontes. Para contexto, US$ 285 milhões do Drift Protocol perda está ligada a uma campanha de engenharia social de seis meses de Grupo Lazarus da Coreia do Norte.
Uniswap fundador Hayden Adams também rejeitou a conclusão mais ampla de que o próprio DeFi se tornou inseguro.
Ele argumentou que contratos inteligentes bem construídos podem suportar aplicações com fortes propriedades de segurança, enquanto a IA provavelmente exporá códigos fracos, lançamentos apressados e práticas de desenvolvimento deficientes mais rapidamente.
Essa distinção tornou-se central para a resposta da indústria. O debate é cada vez mais sobre quais sistemas possuem os controles para resistir Ataques assistidos por IAe que permanecem expostos devido a operações fracas, integrações complexas ou monitoramento limitado.
As equipes DeFi trazem IA para a pilha de defesa
Entretanto, a resistência dos fundadores não impediu as equipas de mudarem a sua abordagem à segurança.
Nansenum plataforma de negociação de IA agente, disse CriptoSlate que os principais protocolos estão recorrendo a ferramentas de IA no lado defensivo, em vez de afastando-se do desenvolvimento de código aberto.
Isto é corroborado por Deddy Lavid, CEO da Cyvers, que disse que a indústria está caminhando em direção a um ambiente de segurança de IA versus IA.
Neste campo, os desenvolvedores de criptografia estão usando as mesmas ferramentas de IA para encontrar e erradicar bugs antes que os invasores o façam.
Notavelmente, o OpenZeppelin introduziu recentemente ferramentas projetadas para ajudar os agentes de IA a gerar contratos inteligentes usando bibliotecas de segurança auditadas e atuais. O objetivo é reduzir a dependência de dados de treinamento obsoletos ou padrões de código inseguros quando os agentes auxiliam os desenvolvedores.
A Uniswap também lançou uma plataforma de desenvolvedor integrada com IA para facilitar implantações seguras desde o início.
Esses esforços são exemplos significativos de como o espaço está se preparando para agentes de IA capazes de descobrir e transformar falhas de software em armas.
A defesa mais rápida é limitar até onde uma falha pode se espalhar
A virada para a defesa assistida por IA sai DeFi com uma tarefa mais imediata de desacelerar os ataques antes que se tornem perdas totais de protocolo.
Lavid, da Cyvers, disse que auditorias estáticas e pontuais não são mais suficientes para protocolos que gerenciam grandes conjuntos de fundos de usuários. Os defensores precisam de monitoramento contínuo, simulação de transações ao vivo e sistemas automatizados que possam retardar ou pausar atividades quando surgir comportamento suspeito.
Algumas dessas salvaguardas já estão sendo adotadas. Lavid disse que alguns protocolos incluem disjuntores, monitoramento de transações, controles multisig e proteções de tempo de execução em suas operações.
Esses sistemas podem reduzir as perdas limitando um ataque antes que os fundos saiam de um protocolo ou dando às equipes tempo para intervir quando a atividade sai dos padrões esperados.
Essa resposta acarreta uma compensação. Disjuntores, controles multisig e pausas de emergência podem proteger os usuários durante um incidente, mas também introduzem mais discrição humana em sistemas construídos em torno do acesso aberto e da execução automatizada.
À medida que a IA aumenta a velocidade dos ataques, o DeFi pode ter que adotar medidas mais defensivas para preservar a confiança do usuário.
Enquanto isso, Richard Liu, cofundador da Huma Finance, disse o sector deveria concentrar-se menos na eliminação de todas as falhas possíveis e mais na redução dos danos quando ocorrem falhas.
Ele comparou o momento atual ao desenvolvimento inicial do comércio digital, onde as redes de cartões de crédito continuaram a crescer mesmo que a fraude continuasse a fazer parte do sistema.
Essas redes gerenciaram o risco por meio de detecção em tempo real, limites de transação, tokenização, seguros e regras de responsabilidade. Liu disse que o DeFi precisa de uma abordagem semelhante, com sistemas projetados para que uma única chave comprometida, um erro de configuração ou um bug não consiga drenar todo um pool de liquidez.
Isso significa que a próxima fase da segurança DeFi pode ser julgada pelo raio de explosão. Os protocolos precisarão de limites mais rígidos para funções privilegiadas, gerenciamento de chaves mais forte, limites de exposição conservadores, melhor design de oráculo, monitoramento em nível de transação e bloqueio pré-execução. Seguros, recompensas por bugs e equipes de resposta ao vivo também podem se tornar mais importantes para plataformas que lidam com grandes quantidades de capital de usuários.
Para os utilizadores, a resposta prática pode tornar-se mais selectiva. Pseudônimo Anseio por finanças o desenvolvedor Banteg disse que discorda da saída de todas as posições DeFi, mas reconhece que a assimetria é real. Seu conselho foi evitar protocolos novos e exóticos e focar em sistemas mais antigos e mais testados.
Essa cautela poderá determinar o próximo destino do capital. Protocolos maduros com designs mais simples, históricos operacionais mais longos e controles mais claros podem estar melhor posicionados para reter usuários. Protocolos construídos em torno de integrações complexas ou altos rendimentos podem enfrentar mais escrutínio, pois a IA torna mais fácil encontrar pontos fracos.
