OpenZeppelin 創始人預警:AI 攻破 DeFi,Aave 等藍籌也不安全
核心要點
OpenZeppelin 創始人 Manuel 警告 AI 正指數級提升攻擊效率,DeFi 風險收益比徹底失衡,建議用戶立即撤資。
OpenZeppelin 創始人 Manuel Aráoz 近日在社交平臺發出嚴厲警告,斷言所有去中心化金融(DeFi)協議已不再安全,並建議親友從 Aave、MakerDAO 和 Compound 等被視爲低風險的藍籌協議中撤出資金。作爲行業核心安全建設者,Manuel 的立場轉變並非危言聳聽,而是基於對人工智能技術演進的深刻洞察。他悲觀地指出,AI 編碼代理在識別與利用智能合約漏洞的能力上正呈現指數級增長,徹底改變了攻防雙方的力量對比。
這種技術變革使得過去需要頂級白帽團隊數週才能發現的複雜漏洞,如今可能被 AI 在幾分鐘內掃描並定位。曾經被視爲 DeFi 優勢的「公開透明」代碼庫,現在反而成爲了攻擊者訓練 AI 模型的最佳語料。Manuel 強調,智能合約安全本質上是一場極度不對稱的博弈:防守方必須修復所有潛在漏洞,而攻擊方只需找到一個即可竊取資金。在 AI 指數級強化攻擊效率的背景下,這種不對稱性正在迅速失衡,導致防禦體系面臨崩潰風險。
午方 AI 梳理發現,過去幾個月 DeFi 安全事故頻發,印證了上述擔憂。4 月 1 日,Drift Protocol 因權限劫持漏洞失竊 2.8 億美元;4 月 19 日,Kelp DAO 橋接協議被攻破,損失高達 2.92 億美元,黑客隨後利用 Aave 等借貸協議洗錢。進入 5 月,攻擊浪潮並未停歇:5 月 15 日,THORChain 因節點運營商利用 GG20 閾值簽名方案漏洞,損失超 1000 萬美元;5 月 18 日,Verus 橋接協議被僞造跨鏈 payload 攻擊,竊走約 1158 萬美元;5 月 19 日,Monad 上的 Echo Protocol 因私鑰泄漏,攻擊者鑄造 1000 枚 eBTC 並通過 Curvance 提取 7670 萬美元。
隨後的攻擊事件進一步擴散至合規領域與基礎設施層。5 月 24 日,受 MiCA 監管的穩定幣發行方 StablR 遭遇攻擊,黑客通過增發 EURR 和 USDR 獲利超 280 萬美元並導致脫錨;5 月 25 日,SquidRouter 模塊被攻破,86 個 Gnosis Safe 錢包被盜約 300 萬美元;5 月 27 日,StakeDAO 部署者私鑰在 Arbitrum 上泄露,攻擊者鑄造約 5.45 萬億枚 vsdCRV 並兌換 43.7 枚 ETH 出逃。從鏈上代碼到鏈下管理,DeFi 似乎正在全線失守,高頻發生的安全事件已敲響警鐘。
DeFi 攻防在今年夏天突現加速崩潰之勢,核心原因在於 AI 大模型能力的突飛猛進。具備超長上下文、強邏輯推理及自主工具調用能力的 AI 代理,能夠秒級掃描全網代碼,推演數百種極端交互場景,精準找出人類審計師漏掉的邊界條件。更致命的是,AI 不僅能發現漏洞,還能自動編寫、測試並部署用於榨取資金的攻擊腳本,甚至能僞裝成開發者進行釣魚或全天候監控 GitHub 提交記錄,在數秒內發起攻擊,速度遠超人類安全員的響應時間。
午方 AI 注意到,AI 技術的軍事化應用已初現端倪。Anthropic 公司近期公佈的新一代模型 Mythos,總參數突破十萬億量級,訓練成本高達 100 億美元。由於該模型在網絡安全方面展現出特化能力,能在數週內識別數千個零日漏洞,Anthropic 甚至不敢直接公開發布,而是計劃通過「玻璃之翼」計劃讓頭部大廠先行試用排查。這讓人不禁擔憂,一旦此類模型完全公開,DeFi 業界的安全佈防將面臨何種前所未有的威脅。
對於普通用戶、流動性提供者及巨鯨而言,當前的風險收益比已徹底失衡。過去,DeFi 提供的高額年化收益率足以覆蓋技術風險,但在市場進入存量博弈後,主流協議的真實收益率已回落到個位數區間。
與此同時,用戶本金暴露在被 AI 瞬間攻破的黑箱中,一旦遭遇攻擊,資金池可能在幾分鐘內被清空,且沒有任何法律或保險承保。用本金丟失 100% 的風險去博取約 5% 的年化收益,顯然是一筆極不划算的買賣。
Manuel 的警告或許顯得絕對,但它撕開了 DeFi 最後的遮羞布。在黑客已將 AI 作爲常規武器、安全事件不斷爆發的現實面前,如果投資者沒有做好損失全部本金的心理預期,那麼「儘快撤資、落袋爲安」或許是當前市場週期下最理智、最符合風控原則的選擇。DeFi 的下一個階段,將不再是單純的技術競賽,而是生存與毀滅的博弈。
評論