विकेंद्रीकृत वित्त (DeFi) के प्रारंभिक सुरक्षा आंकड़ों में से एक की चेतावनी ने हैकिंग के कठिन दौर को उद्योग के लिए एक व्यापक परीक्षण में बदल दिया है कि वह कैसे कृत्रिम बुद्धि (AI) के खिलाफ अपना बचाव कर सकता है।
27 मई को, ओपनज़ेपेलिन के सह-संस्थापक और पूर्व मुख्य प्रौद्योगिकी अधिकारी मैनुअल अराओज़ ने निवेशकों को DeFi पदों से बाहर निकलने की सलाह दी, जिसमें Aave, MakerDAO, और Compound जैसे स्थापित ऋण प्रोटोकॉल में निवेश भी शामिल है।
अराओज़ के अनुसार, स्वचालित AI कोडिंग एजेंटों ने हमलावरों और रक्षकों के बीच अंतर को बढ़ा दिया है क्योंकि इससे बड़े पैमाने पर खामियों को ढूंढना आसान हो गया है। उन्होंने लिखा:
“कोडिंग एजेंट खामियों को ढूंढने में अति मानवीय हैं, और स्मार्ट अनुबंध सुरक्षा बहुत असममित है। रक्षकों को हर बग को ठीक करने की जरूरत है जबकि हमलावरों को केवल एक एक्सप्लॉइट की जरूरत है फंड चुराने के लिए।”
यह चेतावनी इसलिए तेजी से फैली क्योंकि यह व्यापक DeFi बाजार के लिए दबाव के दौरान आई थी। पिछले एक साल में, इस क्षेत्र ने 1.1 अरब डॉलर से अधिक का नुकसान एक्सप्लॉइट्स के कारण झेला है, जिसमें अप्रैल में 28 रिपोर्टेड हैक्स में 635 मिलियन डॉलर शामिल थे।
इन सुरक्षा घटनाओं के कारण, विकेंद्रीकृत वित्त में ताला लगे कुल मूल्य अप्रैल के मध्य में लगभग 172 अरब डॉलर से गिरकर प्रेस तक 148 अरब डॉलर हो गया, जो लगातार पांच सप्ताह के निकासी का संकेत देता है। इस गिरावट को बाजार की व्यापक कमजोरी से भी जोड़ा जा सकता है, जिसने Bitcoin को आज सुबह 72,000 डॉलर के करीब पहुंचा दिया।
फिर भी, ये आंकड़े सुरक्षा बहस को व्यक्तिगत प्रोटोकॉल से परे ले गए और एक व्यापक प्रश्न में बदल दिया कि क्या AI ने DeFi पर हमला करने की लागत को उद्योग की रक्षा के सुधार से तेज़ी से कम कर दिया है।
AI ने कमजोरी की तलाश को सस्ता बना दिया
अराओज़ की चेतावनी इस तथ्य पर आधारित है कि कृत्रिम बुद्धि मूल रूप से स्मार्ट अनुबंध खामियों को मैप करने की लागत और प्रयास को कम करती है।
पिछले कुछ वर्षों में, उन्नत AI मॉडलों ने बड़े पैमाने पर खामियों की खोज, एक्सप्लॉइट टेस्टिंग और ऑपरेशनल रेकॉग्निशन को तेज़ करके भारी दबाव डाला है, जिसकी लागत लगभग शून्य है।
हाल ही में वेंचर कैपिटल फर्म a16z के शोध इस तेज़ होती हुई आक्रामक क्षमता की पुष्टि करते हैं, जिसमें यह बताया गया है कि AI एजेंटों ने ऐतिहासिक DeFi एक्सप्लॉइट्स में मूल खामियों की पहचान लगातार की है।
फर्म के अनुसार, भले ही एजेंट एक्सप्लॉइट को पूरा करने में विफल रहे, वे अक्सर ऐसे चरण तक पहुंच गए जो हमलावरों को शुरुआती बिंदु प्रदान करता है। एक ऐसा टूल जो विश्वसनीय रूप से कमजोर बिंदुओं की पहचान कर सकता है, हमले की शुरुआत के लिए आवश्यक विशेषज्ञता को कम कर सकता है।
Anthropic ने भी अपने अनजारी Claude Mythos मॉडल की सार्वजनिक पहुंच को सीमित कर दिया है, ठीक इसी कारण कि इसमें स्वचालित रूप से सॉफ़्टवेयर खामियों की खोज और हथियार बनाने की क्षमता है।
DeFi के लिए, यह विकास महत्वपूर्ण है क्योंकि कई प्रोटोकॉल के सिस्टम सार्वजनिक, जोड़े जा सकने वाले और वित्तीय रूप से तरल हैं। इसलिए, एक प्लेटफॉर्म के आसपास का कोड, शासन ढांचे और एकीकरणों का खुले तौर पर अध्ययन किया जा सकता है ताकि किसी भी खामियों की पहचान की जा सके।
AI इस प्रक्रिया को तेज़ और सस्ता बना सकता है, जिससे उन टीमों पर दबाव बढ़ रहा है जिनकी रक्षा अभी भी ऑडिट, बग बाउंटी और मैनुअल समीक्षा पर बहुत निर्भर है।
प्रोटोकॉल नेता मजबूत इंफ्रास्ट्रक्चर की ओर इशारा करते हैं
हालांकि, AI के बारे में चिंताओं का विरोध फाउंडर्स और सुरक्षा फर्मों से हुआ है, जो कहते हैं कि DeFi पहले के चक्रों की तुलना में अधिक लचीला हो गया है।
ब्लॉकचेन सुरक्षा फर्म OpenZeppelin दलील दी कि कई हालिया सुरक्षा घटनाएं ऑपरेशनल विफलताओं के कारण हुईं, ऑडिट किए गए अनुबंध कोड में खामियों के बजाय।
फर्म के अनुसार, पिछले कुछ महीनों में हुए अधिकांश बड़े नुकसान में चोरी हुई निजी कुंजियाँ, ब्रिज स्पूफिंग, सोशल इंजीनियरिंग और एक्सेस कंट्रोल की समस्याएं शामिल थीं। यह पैटर्न बताता है कि हमलावरों ने अक्सर प्रोटोकॉल के आसपास के सिस्टम को निशाना बनाया, जिसमें टीमें, अनुमतियाँ और इंफ्रास्ट्रक्चर शामिल थे।
Aave के संस्थापक Stani Kulechov ने भी इसी तरह की दलील दी। उन्होंने कहा कि आज DeFi इंफ्रास्ट्रक्चर बेहतर रिस्क इंजन, लेंडिंग मार्केट स्ट्रक्चर, फॉर्मल वेरिफिकेशन, ऑडिट, बग बाउंटी, कैप मैनेजमेंट, ऑरेकल सुधार, स्वचालित निगरानी और सर्किट ब्रेकर्स के फायदे उठा रहा है।
Kulechov ने कहा कि बचे हुए हमले के तल पर अधिकांश Web2 शैली की ऑपरेशनल चूकें शामिल हैं, जिसमें कमजोर आंतरिक नियंत्रण और इंफ्रास्ट्रक्चर प्रक्रियाएं शामिल हैं।
उल्लेखनीय रूप से, यह दृष्टिकोण अप्रैल की एक्सप्लॉइट लहर से मेल खाता है, जहां सबसे बड़े नुकसान में से कई खामियों, सोशल इंजीनियरिंग और ब्रिज से संबंधित विफलताओं से जुड़े थे। संदर्भ के लिए, Drift Protocol का 285 मिलियन डॉलर का नुकसान उत्तर कोरिया के Lazarus ग्रुप के छह महीने के सोशल इंजीनियरिंग अभियान से जुड़ा है।
Uniswap के संस्थापक Hayden Adams ने भी इस बात का विरोध किया कि DeFi खुद असुरक्षित हो गया है।
उन्होंने दलील दी कि अच्छी तरह से बनाए गए स्मार्ट अनुबंध मजबूत सुरक्षा गुणों वाले एप्लिकेशन का समर्थन कर सकते हैं, जबकि AI अधिक तेज़ी से कमजोर कोड, जल्दबाज़ी से लॉन्च और खराब डेवलपमेंट प्रैक्टिस को उजागर कर सकता है।
यह अंतर उद्योग के जवाब के लिए महत्वपूर्ण हो गया है। बहस अब यह है कि कौन से सिस्टम में ऐसे नियंत्रण हैं जो AI सहायता वाले हमलों का सामना कर सकते हैं, और कौन से कमजोर ऑपरेशन, जटिल एकीकरण या सीमित निगरानी के कारण अभी भी खुले हैं।
DeFi टीमें AI को रक्षा स्टैक में लाती हैं
इस बीच, फाउंडर्स के विरोध से टीमों का सुरक्षा के प्रति दृष्टिकोण बदलना नहीं रुका है।
Nansen, एक एजेंटिक AI ट्रेडिंग प्लेटफॉर्म, ने CryptoSlate को बताया कि प्रमुख प्रोटोकॉल खुले स्रोत विकास से दूर होने के बजाय रक्षात्मक पक्ष पर AI टूल की ओर झुक रहे हैं।
इसकी पुष्टि Cyvers के मुख्य कार्यकारी अधिकारी डेडी लाविड ने की, जिन्होंने कहा कि उद्योग AI बनाम AI सुरक्षा वातावरण की ओर बढ़ रहा है।
इस क्षेत्र में, क्रिप्टो डेवलपर्स एक ही AI टूल का उपयोग हमलावरों से पहले बग की खोज और उन्हें खत्म करने के लिए कर रहे हैं।
उल्लेखनीय रूप से, OpenZeppelin ने हाल ही में एक टूल पेश किया है जो AI एजेंटों को मौजूदा, ऑडिट किए गए सुरक्षा लाइब्रेरी का उपयोग करके स्मार्ट अनुबंध बनाने में मदद करता है। इसका उद्देश्य एजेंटों के डेवलपर्स की मदद करते समय बूढ़े ट्रेनिंग डेटा या असुरक्षित कोड पैटर्न पर निर्भरता कम करना है।
Uniswap ने भी AI एकीकृत डेवलपर प्लेटफॉर्म लॉन्च किया है ताकि सुरक्षित डेप्लॉयमेंट को शुरू से ही आसान बनाया जा सके।
ये प्रयास इस बात के महत्वपूर्ण उदाहरण हैं कि कैसे यह क्षेत्र AI एजेंटों के लिए तैयार हो रहा है जो सॉफ़्टवेयर खामियों की खोज और हथियार बना सकते हैं।
सबसे तेज़ रक्षा यह है कि एक विफलता कितनी दूर तक फैल सकती है उसे सीमित किया जाए
AI सहायता वाली रक्षा की ओर बढ़ने से DeFi के पास अधिक तत्काल कार्य है कि वह हमलों को रोके जब तक वे पूरे प्रोटोकॉल के नुकसान में न बदल जाएं।
Cyvers के Lavid ने कहा कि स्थिर, एक समय पर ऑडिट प्रोटोकॉल के लिए अब पर्याप्त नहीं हैं जो बड़े पैमाने पर उपयोगकर्ता फंड का प्रबंधन करते हैं। रक्षकों को निरंतर निगरानी, लाइव ट्रांज़ैक्शन सिमुलेशन और स्वचालित सिस्टम की आवश्यकता है जो संदिग्ध व्यवहार दिखाई देने पर गतिविधि को धीमा कर सकते हैं या रोक सकते हैं।
उन सुरक्षा उपायों में से कुछ पहले से ही अपनाए जा रहे हैं। Lavid ने कहा कि कुछ प्रोटोकॉल सर्किट ब्रेकर्स, ट्रांज़ैक्शन निगरानी, मल्टीसिग कंट्रोल और रनटाइम प्रोटेक्शन को अपने ऑपरेशन में शामिल कर रहे हैं।
ये सिस्टम फंड के प्रोटोकॉल से बाहर निकलने से पहले हमले को सीमित करके या टीमों को समय देकर नुकसान को कम कर सकते हैं जब गतिविधि अपेक्षित पैटर्न से बाहर निकल जाती है।
यह जवाब एक विनिमय को साथ लाता है। सर्किट ब्रेकर्स, मल्टीसिग कंट्रोल और आपातकालीन रोक उपयोगकर्ताओं को घटना के दौरान सुरक्षित रख सकते हैं, लेकिन वे खुले पहुंच और स्वचालित निष्पादन पर आधारित सिस्टम में अधिक मानवीय विवेक भी लाते हैं।
जैसे-जैसे AI हमलों की गति बढ़ाता है, DeFi को उपयोगकर्ता विश्वास को बनाए रखने के लिए अधिक रक्षात्मक उपाय अपनाने पड़ सकते हैं।
इस बीच, Huma Finance के सह-संस्थापक रिचर्ड लियू ने कहा कि यह क्षेत्र हर संभावित विफलता को खत्म करने पर कम ध्यान केंद्रित करना चाहिए और विफलताओं के समय नुकसान को कम करने पर अधिक ध्यान केंद्रित करना चाहिए।
उन्होंने वर्तमान क्षण की तुलना डिजिटल व्यापार के प्रारंभिक विकास से की, जहां क्रेडिट कार्ड नेटवर्क तब भी बढ़ते रहे जब धोखाधड़ी सिस्टम का हिस्सा बनी रही।
उन नेटवर्कों ने रियल-टाइम डिटेक्शन, ट्रांज़ैक्शन सीमा, टोकनाइज़ेशन, बीमा और दायित्व नियमों के माध्यम से जोखिम का प्रबंधन किया। लियू ने कहा कि DeFi को एक समान दृष्टिकोण की जरूरत है, जिसमें सिस्टम ऐसे डिज़ाइन किए गए हैं कि एक चोरी हुई कुंजी, एक कॉन्फ़िगरेशन त्रुटि या एक बग पूरे तरलता पूल को खाली न कर सके।
इसका मतलब है कि DeFi सुरक्षा का अगला चरण विस्फोट के त्रिज्या से जज किया जा सकता है। प्रोटोकॉलों को विशेषाधिकार वाली भूमिकाओं पर कड़ी सीमाएं, मजबूत कुंजी प्रबंधन, संभावित खतरे की सीमा, बेहतर ऑरेकल डिज़ाइन, ट्रांज़ैक्शन स्तर की निगरानी और पूर्व निष्पादन रोक लगाने की आवश्यकता होगी। बीमा, बग बाउंटी और लाइव रिस्पॉन्स टीमें भी बड़ी मात्रा में उपयोगकर्ता पूंजी का प्रबंधन करने वाले प्लेटफॉर्म के लिए अधिक महत्वपूर्ण हो सकती हैं।
उपयोगकर्ताओं के लिए, व्यावहारिक जवाब अधिक चुनिंदा हो सकता है। पूर्वनामित Yearn Finance डेवलपर Banteg ने कहा कि वह सभी DeFi पदों से बाहर निकलने से असहमत हैं, लेकिन वह स्वीकार करते हैं कि असममिति वास्तविक है। उनकी सलाह थी कि नए और विदेशी प्रोटोकॉलों से बचें और पुराने, अधिक परीक्षण वाले सिस्टम पर ध्यान केंद्रित करें।
यह सावधानी भविष्य में पूंजी के जाने की दिशा को आकार दे सकती है। सरल डिज़ाइन, लंबी ऑपरेटिंग इतिहास और स्पष्ट नियंत्रण वाले परिपक्व प्रोटोकॉल उपयोगकर्ताओं को बनाए रखने के लिए बेहतर स्थिति में हो सकते हैं। जटिल एकीकरण या उच्च उपज के आसपास बने प्रोटोकॉलों को AI के कारण कमजोर बिंदुओं को आसानी से खोजने पर अधिक निगरानी का सामना करना पड़ सकता है।
पोस्ट क्या AI एजेंटों ने पूरे 148 अरब डॉलर के DeFi क्षेत्र को असुरक्षित बना दिया है? पहली बार CryptoSlate पर प्रकाशित हुआ।