هل جعل عملاء الذكاء الاصطناعي قطاع التمويل اللامركزي (DeFi) الذي تبلغ قيمته 148 مليار دولار بالكامل غير آمن؟
أدى تحذير أحد الشخصيات الأمنية المبكرة للتمويل اللامركزي (DeFi) إلى تحويل مجموعة صعبة من الاختراقات إلى اختبار أوسع لكيفية دفاع الصناعة عن نفسها ضد الذكاء الاصطناعي (AI).
في 27 مايو، نصح مانويل أراوز، المؤسس المشارك والرئيس التنفيذي السابق للتكنولوجيا في OpenZeppelin، المستثمرين بالخروج من مراكز التمويل اللامركزي، بما في ذلك التعرض لبروتوكولات الإقراض المعمول بها مثل Aave وMakerDAO وCompound.
وفقًا لأراوز، فقد أدى وكلاء تشفير الذكاء الاصطناعي المستقلون إلى توسيع الفجوة بين المهاجمين والمدافعين من خلال تسهيل العثور على نقاط الضعف على نطاق واسع. كتب:
"وكلاء البرمجة خارقون في العثور على نقاط الضعف، كما أن أمان العقود الذكية غير متماثل للغاية. يحتاج المدافعون إلى إصلاح كل خطأ بينما يحتاج المهاجمون إلى استغلال واحد فقط لسرقة الأموال."
اكتسب التحذير زخمًا لأنه جاء خلال فترة الضغط على سوق التمويل اللامركزي الأوسع. على مدار العام الماضي، خسر القطاع أكثر من 1.1 مليار دولار بسبب عمليات الاستغلال، حيث حصد شهر أبريل 635 مليون دولار عبر 28 عملية اختراق تم الإبلاغ عنها.
وأدت هذه الحوادث الأمنية إلى انخفاض القيمة الإجمالية للتمويل اللامركزي من حوالي 172 مليار دولار في منتصف أبريل إلى 148 مليار دولار حتى وقت كتابة المقالة، مما يمثل خمسة أسابيع متتالية من التدفقات الخارجة. ويمكن أيضًا ربط الانخفاض بضعف السوق الأوسع، والذي شهد اقتراب سعر البيتكوين من 72000 دولار في وقت سابق اليوم.
ومع ذلك، فقد دفعت هذه الأرقام الجدل الأمني إلى ما هو أبعد من البروتوكولات الفردية وإلى سؤال أوسع حول ما إذا كان الذكاء الاصطناعي قد خفض تكلفة مهاجمة التمويل اللامركزي بشكل أسرع من قدرة الصناعة على تحسين دفاعاتها.
الذكاء الاصطناعي يجعل البحث عن نقاط الضعف أرخص
يرتكز تحذير أراوز على حقيقة مفادها أن الذكاء الاصطناعي يقلل بشكل أساسي من التكلفة والجهد اللازمين لرسم خريطة لنقاط الضعف في العقود الذكية.
على مدى السنوات الماضية، فرضت نماذج الذكاء الاصطناعي المتقدمة ضغوطًا هائلة من خلال تسريع اكتشاف الثغرات الأمنية واختبار الاستغلال والاستطلاع التشغيلي بتكلفة تقترب من الصفر.
تؤكد الأبحاث الحديثة التي أجرتها شركة رأس المال الاستثماري a16z صحة هذه القدرة الهجومية المتسارعة من خلال الإشارة إلى أن عملاء الذكاء الاصطناعي قد حددوا باستمرار نقاط الضعف الأساسية في عمليات استغلال DeFi التاريخية.
وفقًا للشركة، حتى عندما يفشل العملاء في إكمال إحدى الثغرة، فإنهم غالبًا ما يصلون إلى المرحلة التي تمنح المهاجمين نقطة انطلاق. يمكن للأداة التي تحدد نقاط الضعف بشكل موثوق أن تقلل من الخبرة المطلوبة لبدء الهجوم.
وبالمثل، قامت شركة Anthropic بتقييد وصول الجمهور إلى نموذج Claude Mythos الذي لم يتم إصداره على وجه التحديد بسبب قدرته على اكتشاف عيوب البرامج واستغلالها بشكل مستقل.
بالنسبة لـ DeFi، يعد هذا التطوير مهمًا لأن أنظمة العديد من البروتوكولات عامة وقابلة للتركيب وسائلة ماليًا. وبالتالي، يمكن دراسة الكود وهياكل الإدارة وعمليات التكامل المحيطة بالمنصة بشكل مفتوح لتحديد أي نقاط ضعف.
يمكن للذكاء الاصطناعي أن يجعل هذه العملية أسرع وأرخص، مما يزيد الضغط على الفرق التي لا تزال دفاعاتها تعتمد بشكل كبير على عمليات التدقيق ومكافآت الأخطاء والمراجعة اليدوية.
يشير قادة البروتوكول إلى بنية تحتية أقوى
ومع ذلك، فقد أثارت المخاوف بشأن الذكاء الاصطناعي معارضة من المؤسسين وشركات الأمن، الذين يقولون إن التمويل اللامركزي أصبح أكثر مرونة مما كان عليه في الدورات السابقة.
زعمت شركة أمان بلوكتشين أوبن زيبلين أن العديد من الحوادث الأمنية الأخيرة نتجت عن فشل تشغيلي بدلاً من عيوب في كود العقد المدقق.
وفقًا للشركة، فإن معظم الخسائر الكبيرة في الأشهر الأخيرة كانت تتعلق بمفاتيح خاصة مسروقة، وانتحال الجسور، والهندسة الاجتماعية، ومشكلات التحكم في الوصول. ويشير هذا النمط إلى أن المهاجمين استهدفوا في كثير من الأحيان الأنظمة المتعلقة بالبروتوكولات، بما في ذلك الفرق والأذونات والبنية التحتية.
قدم مؤسس Aave، ستاني كوليتشوف، حجة مماثلة. وقال إن البنية التحتية لـ DeFi تستفيد اليوم من محركات المخاطر الأفضل، وهياكل سوق الإقراض، والتحقق الرسمي، وعمليات التدقيق، ومكافآت الأخطاء، وإدارة الحد الأقصى، وتحسينات أوراكل، والمراقبة الآلية، وقواطع الدوائر الكهربائية.
وقال كوليشوف إن معظم سطح الهجوم المتبقي ينطوي على هفوات تشغيلية على غرار Web2، بما في ذلك الضوابط الداخلية الضعيفة وعمليات البنية التحتية.
والجدير بالذكر أن هذا الرأي يتوافق مع موجة الاستغلال التي حدثت في أبريل، حيث ارتبطت العديد من أكبر الخسائر بالمفاتيح المخترقة والهندسة الاجتماعية والفشل المرتبط بالجسور. للسياق، ترتبط خسارة Drift Protocol البالغة 285 مليون دولار بحملة هندسة اجتماعية مدتها ستة أشهر من مجموعة Lazarus Group في كوريا الشمالية.
كما عارض مؤسس Uniswap، هايدن آدامز، الاستنتاج الأوسع بأن التمويل اللامركزي نفسه أصبح غير آمن.
وقال إن العقود الذكية المبنية بشكل جيد يمكن أن تدعم التطبيقات ذات الخصائص الأمنية القوية، في حين من المرجح أن يكشف الذكاء الاصطناعي عن التعليمات البرمجية الضعيفة، وعمليات الإطلاق المتسرعة، وممارسات التطوير الضعيفة بسرعة أكبر.
لقد أصبح هذا التمييز محوريًا في استجابة الصناعة. يدور الجدل بشكل متزايد حول الأنظمة التي تمتلك الضوابط اللازمة لمقاومة الهجمات المدعومة بالذكاء الاصطناعي، وأي الأنظمة تظل مكشوفة بسبب ضعف العمليات، أو عمليات التكامل المعقدة، أو المراقبة المحدودة.
تقوم فرق DeFi بإحضار الذكاء الاصطناعي إلى مكدس الدفاع
وفي الوقت نفسه، بوشبا