คำเตือนจากหนึ่งในผู้เชี่ยวชาญด้านความปลอดภัยรุ่นแรกของระบบการเงินแบบกระจายศูนย์ (DeFi) ได้เปลี่ยนช่วงเวลาที่ยากลำบากจากการถูกโจมตีให้กลายเป็นบททดสอบที่กว้างขึ้นว่าอุตสาหกรรมนี้สามารถปกป้องตนเองจากปัญญาประดิษฐ์ (AI) ได้อย่างไร
เมื่อวันที่ 27 พฤษภาคม นายมานูเอล อาราโอซ ผู้ร่วมก่อตั้งและอดีตหัวหน้าเจ้าหน้าที่เทคโนโลยีของ OpenZeppelin แนะนำให้นักลงทุนขายตำแหน่ง DeFi รวมถึงการลงทุนในโปรโตคอลให้กู้ยืมที่มีชื่อเสียง เช่น Aave, MakerDAO และ Compound
ตามที่อาราโอซกล่าว ตัวแทนเขียนโค้ด AI อัตโนมัติได้ขยายช่องว่างระหว่างผู้โจมตีกับผู้ป้องกัน โดยทำให้การค้นหาช่องโหว่ในระดับใหญ่ทำได้ง่ายขึ้น เขา เขียนไว้ว่า:
“ตัวแทนเขียนโค้ดเก่งกว่ามนุษย์ในการค้นหาช่องโหว่ และความปลอดภัยของสัญญาอัจฉริยะก็ไม่สมดุลมากพอ ผู้ป้องกันจำเป็นต้องแก้ไขทุกบั๊ก ในขณะที่ผู้โจมตีเพียงแค่ใช้ช่องโหว่เดียวเพื่อขโมยเงิน”
คำเตือนนี้ได้รับความสนใจเพราะเกิดขึ้นในช่วงที่ตลาด DeFi กำลังเผชิญแรงกดดันอย่างหนัก ในปีที่ผ่านมา ภาคส่วนนี้สูญเสียเงินไปมากกว่า 1.1 พันล้านดอลลาร์จากการถูกโจมตี โดยเดือนเมษายนมีมูลค่าสูงถึง 635 ล้านดอลลาร์จากการถูกโจมตี 28 ครั้งที่รายงาน
เหตุการณ์ความปลอดภัยเหล่านี้ส่งผลให้มูลค่ารวมที่ถูกล็อกในระบบการเงินแบบกระจายศูนย์ลดลงจากประมาณ 172,000 ล้านดอลลาร์ในกลางเดือนเมษายน มาอยู่ที่ 148,000 ล้านดอลลาร์ ณ เวลาที่เผยแพร่ ซึ่งถือเป็นการไหลออกติดต่อกันเป็นสัปดาห์ที่ห้า การลดลงนี้ยังอาจเชื่อมโยงกับภาวะตลาดที่อ่อนแอลงโดยรวม ซึ่ง Bitcoin เคลื่อนตัวใกล้ 72,000 ดอลลาร์เมื่อวันก่อน
อย่างไรก็ตาม ตัวเลขเหล่านี้ได้ผลักดันให้การถกเถียงเรื่องความปลอดภัยขยายออกไปนอกเหนือจากโปรโตคอลแต่ละตัว และกลายเป็นคำถามที่กว้างขึ้นว่า AI ได้ลดต้นทุนในการโจมตี DeFi รวดเร็วกว่าที่อุตสาหกรรมจะปรับปรุงมาตรการป้องกันได้หรือไม่
AI ทำให้การค้นหาจุดอ่อนถูกลง
คำเตือนของอาราโอซมีพื้นฐานมาจากข้อเท็จจริงที่ว่าปัญญาประดิษฐ์ช่วยลดต้นทุนและแรงงานที่จำเป็นในการตรวจสอบช่องโหว่ของสัญญาอัจฉริยะอย่างแท้จริง
ในช่วงหลายปีที่ผ่านมา โมเดล AI ขั้นสูงได้สร้างแรงกดดันอย่างมหาศาลด้วยการเร่งการค้นพบช่องโหว่ การทดสอบช่องโหว่ และการสืบสวนเชิงปฏิบัติการในราคาที่แทบไม่มีค่าใช้จ่าย
งานวิจัยล่าสุดจาก บริษัทวาณิชธนกิจ a16z ยืนยันความสามารถในการโจมตีที่เพิ่มขึ้นนี้ โดยระบุว่าตัวแทน AI ได้ระบุช่องโหว่หลักในการโจมตี DeFi ที่ผ่านมาอย่างสม่ำเสมอ
ตามที่บริษัทกล่าว แม้ตัวแทนจะไม่สามารถดำเนินการโจมตีจนสำเร็จ พวกเขามักจะเข้าถึงขั้นตอนที่เป็นจุดเริ่มต้นสำหรับผู้โจมตี เครื่องมือที่ระบุจุดอ่อนได้อย่างแม่นยำสามารถลดความจำเป็นในการใช้ความเชี่ยวชาญสูงในการเริ่มต้นการโจมตีได้
Anthropic ก็ได้จำกัดการเข้าถึงสาธารณะของ โมเดล Claude Mythos ที่ยังไม่ได้เปิดตัวเช่นกัน เนื่องจากความสามารถในการค้นพบและนำช่องโหว่ซอฟต์แวร์ไปใช้ประโยชน์ได้อย่างอัตโนมัติ
สำหรับ DeFi การพัฒนานี้สำคัญ เพราะระบบของโปรโตคอลจำนวนมากเป็นระบบสาธารณะ ประกอบกันได้ และมีสภาพคล่องทางการเงิน ดังนั้น โค้ด โครงสร้างการกำกับดูแล และการผสานรวมรอบแพลตฟอร์มสามารถศึกษาได้อย่างเปิดเผยเพื่อค้นหาช่องโหว่ใดๆ
AI สามารถทำให้กระบวนการนี้รวดเร็วและประหยัดขึ้น ซึ่งเพิ่มแรงกดดันต่อทีมที่การป้องกันยังพึ่งพาการตรวจสอบ การแจ้งรางวัลบั๊ก และการตรวจสอบด้วยมืออยู่มาก
ผู้นำโปรโตคอลชี้ไปที่โครงสร้างพื้นฐานที่แข็งแกร่งขึ้น
อย่างไรก็ตาม ความกังวลเกี่ยวกับ AI ได้รับการตอบโต้จากผู้ก่อตั้งและบริษัทความปลอดภัย ซึ่งกล่าวว่า DeFi ได้เพิ่มความทนทานมากขึ้นกว่าในรอบก่อนๆ
บริษัทความปลอดภัยบล็อกเชน OpenZeppelin โต้แย้งว่าเหตุการณ์ความปลอดภัยล่าสุดหลายครั้งเกิดจากความผิดพลาดในการดำเนินงาน ไม่ใช่จากข้อบกพร่องในโค้ดสัญญาที่ผ่านการตรวจสอบ
ตามที่บริษัทกล่าว ความสูญเสียครั้งใหญ่ในช่วงไม่กี่เดือนที่ผ่านมาส่วนใหญ่เกี่ยวข้องกับการขโมยคีย์ส่วนตัว การปลอมแปลงสะพาน การหลอกลวงทางสังคม และปัญหาการควบคุมการเข้าถึง รูปแบบนี้แสดงให้เห็นว่าผู้โจมตีมักเล็งไปที่ระบบที่อยู่รอบโปรโตคอล รวมถึงทีมงาน สิทธิ์การเข้าถึง และโครงสร้างพื้นฐาน
ผู้ก่อตั้ง Aave Stani Kulechov ก็ให้เหตุผลคล้ายกัน เขากล่าวว่าโครงสร้างพื้นฐาน DeFi ปัจจุบันได้ประโยชน์จากเครื่องมือประเมินความเสี่ยงที่ดีขึ้น โครงสร้างตลาดการให้กู้ยืม การตรวจสอบอย่างเป็นทางการ การตรวจสอบ การแจ้งรางวัลบั๊ก การบริหารจัดการเพดาน การปรับปรุงออราเคิล การติดตามอัตโนมัติ และตัวหยุดวงจร
Kulechov กล่าวว่าพื้นที่ที่เหลืออยู่สำหรับการโจมตีส่วนใหญ่เกี่ยวข้องกับข้อผิดพลาดในการดำเนินงานแบบ Web2 รวมถึงการควบคุมภายในและการดำเนินงานที่ไม่แข็งแรง
ที่สำคัญ แนวคิดนี้สอดคล้องกับคลื่นการโจมตีในเดือนเมษายน ซึ่งความสูญเสียครั้งใหญ่หลายครั้งเกี่ยวข้องกับคีย์ที่ถูกแฮ็ก การหลอกลวงทางสังคม และความล้มเหลวที่เกี่ยวข้องกับสะพาน เพื่อให้เข้าใจบริบท ความสูญเสีย 285 ล้านดอลลาร์ของ Drift Protocol เกี่ยวข้องกับแคมเปญการหลอกลวงทางสังคมยาว 6 เดือนจาก กลุ่ม Lazarus ของเกาหลีเหนือ
ผู้ก่อตั้ง Uniswap Hayden Adams ก็ได้โต้แย้งข้อสรุปที่กว้างขึ้นว่า DeFi เองไม่ปลอดภัยแล้วเช่นกัน
เขาโต้แย้งว่าสัญญาอัจฉริยะที่ออกแบบมาอย่างดีสามารถรองรับแอปพลิเคชันที่มีคุณสมบัติความปลอดภัยที่แข็งแกร่ง ในขณะที่ AI มีแนวโน้มจะเปิดเผยโค้ดที่อ่อนแอ การเปิดตัวที่เร่งรีบ และแนวทางการพัฒนาที่ไม่ดีได้อย่างรวดเร็วขึ้น
ความแตกต่างนี้ได้กลายเป็นหัวใจสำคัญของการตอบสนองของอุตสาหกรรม การถกเถียงกำลังเน้นไปที่ระบบที่มีมาตรการควบคุมเพียงพอที่จะต้านทาน การโจมตีที่ใช้ AI และระบบที่ยังคงเปิดเผยเนื่องจากการดำเนินงานที่ไม่แข็งแรง การผสานรวมที่ซับซ้อน หรือการติดตามที่จำกัด
ทีม DeFi นำ AI เข้ามาในชุดการป้องกัน
ในขณะเดียวกัน การโต้แย้งจากผู้ก่อตั้งไม่ได้หยุดทีมต่างๆ จากการเปลี่ยนแนวทางด้านความปลอดภัย
Nansen แพลตฟอร์มเทรด AI แบบเชิงปัญญา บอกกับ CryptoSlate ว่าโปรโตคอลใหญ่ๆ กำลังหันไปใช้เครื่องมือ AI ในฝ่ายป้องกัน แทนที่จะหันหลังให้กับการพัฒนาแบบโอเพ่นซอร์ส
สิ่งนี้ได้รับการยืนยันโดย Deddy Lavid ประธานเจ้าหน้าที่บริหารของ Cyvers ซึ่งกล่าวว่าอุตสาหกรรมกำลังเคลื่อนไปสู่สภาพแวดล้อมความปลอดภัยแบบ AI ต่อ AI
ในด้านนี้ นักพัฒนาคริปโตกำลังใช้เครื่องมือ AI เดียวกันเพื่อค้นหาและกำจัดบั๊กก่อนที่ผู้โจมตีจะทำได้
ที่สำคัญ OpenZeppelin เพิ่งเปิดตัวเครื่องมือที่ออกแบบมาเพื่อช่วยตัวแทน AI สร้างสัญญาอัจฉริยะโดยใช้ไลบรารีความปลอดภัยที่ผ่านการตรวจสอบแล้ว เป้าหมายคือลดการพึ่งพาข้อมูลการฝึกอบรมที่ล้าสมัยหรือรูปแบบโค้ดที่ไม่ปลอดภัยเมื่อตัวแทนช่วยเหลือนักพัฒนา
Uniswap ก็ได้เปิดตัวแพลตฟอร์มสำหรับนักพัฒนาที่ผสาน AI เพื่อให้การปรับใช้ที่ปลอดภัยทำได้ง่ายขึ้นตั้งแต่เริ่มต้น
ความพยายามเหล่านี้เป็นตัวอย่างสำคัญที่แสดงให้เห็นว่าภาคส่วนนี้กำลังเตรียมตัวรับตัวแทน AI ที่สามารถค้นหาและนำช่องโหว่ซอฟต์แวร์ไปใช้ประโยชน์ได้
การป้องกันที่เร็วที่สุดคือการจำกัดขอบเขตที่ความล้มเหลวหนึ่งครั้งจะขยายไปได้
การหันไปใช้การป้องกันที่ใช้ AI ทำให้ DeFi มีภารกิจที่เร่งด่วนกว่าในการชะลอการโจมตีก่อนที่จะกลายเป็นความสูญเสียทั้งหมดของโปรโตคอล
Lavid จาก Cyvers กล่าวว่าการตรวจสอบแบบคงที่ ณ จุดเวลาหนึ่งไม่เพียงพออีกต่อไปสำหรับโปรโตคอลที่จัดการเงินทุนของผู้ใช้จำนวนมาก ผู้ป้องกันจำเป็นต้องมีการติดตามอย่างต่อเนื่อง การจำลองธุรกรรมแบบสด และระบบอัตโนมัติที่สามารถชะลอหรือหยุดกิจกรรมเมื่อพบพฤติกรรมที่น่าสงสัย
มาตรการป้องกันบางอย่างกำลังถูกนำไปใช้แล้ว Lavid กล่าวว่าโปรโตคอลบางแห่งได้เพิ่มตัวหยุดวงจร การติดตามธุรกรรม การควบคุม multisig และการป้องกันการทำงานในช่วงเวลาจริงเข้าไปในการดำเนินงาน
ระบบที่กล่าวมาสามารถลดความสูญเสียได้โดยจำกัดการโจมตีก่อนที่เงินจะออกจากโปรโตคอล หรือให้เวลากับทีมในการเข้าไปแทรกแซงเมื่อกิจกรรมผิดไปจากปกติ
การตอบสนองนี้มีข้อแลกเปลี่ยน ตัวหยุดวงจร การควบคุม multisig และการหยุดชั่วคราวในกรณีฉุกเฉินสามารถปกป้องผู้ใช้ในช่วงเหตุการณ์ แต่ก็เพิ่มการใช้ดุลยพินิจของมนุษย์ในระบบที่สร้างขึ้นบนการเข้าถึงแบบเปิดและการดำเนินงานอัตโนมัติ
เมื่อ AI เพิ่มความเร็วในการโจมตี DeFi อาจต้องนำมาตรการป้องกันที่เข้มงวดขึ้นมาเพื่อรักษาความเชื่อมั่นของผู้ใช้
ในขณะเดียวกัน Richard Liu ผู้ร่วมก่อตั้ง Huma Finance กล่าวว่าภาคส่วนควรโฟกัสที่การลดความเสียหายเมื่อเกิดความล้มเหลว มากกว่าการกำจัดความล้มเหลวทุกอย่าง
เขาเปรียบเทียบช่วงเวลานี้กับช่วงเริ่มต้นของการค้าดิจิทัล ที่เครือข่ายบัตรเครดิตยังคงเติบโตต่อไปแม้จะมีการฉ้อโกงอยู่ในระบบ
เครือข่ายเหล่านั้นจัดการความเสี่ยงผ่านการตรวจจับแบบเรียลไทม์ ข้อจำกัดการทำธุรกรรม การแปลงโทเค็น ประกันภัย และกฎความรับผิดชอบ Liu กล่าวว่า DeFi ต้องการแนวทางที่คล้ายกัน โดยออกแบบระบบที่หากคีย์ถูกแฮ็ก ข้อผิดพลาดในการตั้งค่า หรือบั๊กหนึ่งครั้ง จะไม่สามารถดูดเงินในคลังสภาพคล่องทั้งหมดได้
นั่นหมายความว่าการป้องกันความปลอดภัยของ DeFi ในระยะต่อไปอาจถูกตัดสินจากพื้นที่ที่ถูกโจมตี โปรโตคอลต่างๆ จะต้องมีข้อจำกัดที่เข้มงวดกว่าสำหรับบทบาทที่มีสิทธิพิเศษ การจัดการคีย์ที่แข็งแกร่งกว่า ข้อจำกัดการเปิดเผยที่เข้มงวดกว่า การออกแบบออราเคิลที่ดีกว่า การติดตามธุรกรรมระดับรายละเอียด และการป้องกันก่อนการดำเนินการ ประกันภัย รางวัลบั๊ก และทีมตอบสนองแบบสดก็อาจมีบทบาทสำคัญมากขึ้นสำหรับแพลตฟอร์มที่จัดการเงินทุนของผู้ใช้จำนวนมาก
สำหรับผู้ใช้ คำตอบที่เป็นจริงอาจกลายเป็นการเลือกเฉพาะกลุ่ม Banteg นักพัฒนา Yearn Finance ที่ใช้นามแฝงกล่าวว่าเขาไม่เห็นด้วยกับการขายตำแหน่ง DeFi ทั้งหมด แต่ยอมรับว่าความไม่สมดุลนั้นมีจริง คำแนะนำของเขาคือหลีกเลี่ยงโปรโตคอลใหม่ๆ และแปลกใหม่ และเน้นไปที่ระบบที่มีประสบการณ์และผ่านการทดสอบมาแล้ว
ข้อควรระวังนี้อาจกำหนดทิศทางของเงินทุนต่อไป โปรโตคอลที่มีการออกแบบที่เรียบง่าย ประวัติการดำเนินงานที่ยาวนาน และการควบคุมที่ชัดเจนอาจมีโอกาสที่ดีกว่าในการรักษาผู้ใช้ โปรโตคอลที่สร้างขึ้นบนการผสานรวมที่ซับซ้อนหรือผลตอบแทนสูงอาจถูกตรวจสอบมากขึ้น เมื่อ AI ทำให้จุดอ่อนต่างๆ ถูกค้นพบได้ง่ายขึ้น
โพสต์ ตัวแทน AI ทำให้ภาคส่วน DeFi 148,000 ล้านดอลลาร์ไม่ปลอดภัยแล้วหรือไม่? ปรากฏครั้งแรกที่ CryptoSlate