آیا همه دیفای ناامن است؟ رهبران صنعت پس از هشدار بنیان‌گذار اوپن‌زپلین به سرمایه‌گذاران خرد برای خروج از پروژه‌های بلوچیپ، واکنش نشان دادند

گذار از جنجال به داده

وقتی مانوئل آرائوز، هم‌بنیان‌گذار OpenZeppelin و مدیر ارشد فناوری (CTO) پیشین، امور مالی غیرمتمرکز (DeFi) را به‌عنوان کاملاً ناامن توصیف کرد، صنعتی را که همین‌طور از افزایش هک‌ها ضربه خورده بود، تکان داد. در تأکید بر این آسیب‌پذیری، یک تحلیل اخیر از شرکت امنیت بلاکچین Peckshield نشان داد که تنها سوءاستفاده‌ها از پروتکل‌های بین‌زنجیره‌ای (cross-chain) بین ابتدای سال تا اواسط ماه مه، ۳۲۸.۶ میلیون دلار را تخلیه کرده‌اند.

هشدارهای وایرال آرائوز باعث شد OpenZeppelin به‌صورت عمومی فاصله‌گذاری خود را از برخی ادعاهای او اعلام کند، اما این اظهارات در برانگیختن یک بحث تند درباره امنیت دیفای موفق بود. با این حال، منتقدان زبان نمایشی او را تلاشی خودخواهانه برای دامن‌زدن به ترس و وحشت دانستند. دیگرانی مانند لئو فن، بنیان‌گذار Cysic، معتقدند این نوع چارچوب‌بندی به اعتبار پیامی لطمه می‌زند که هسته‌ای واقعی دارد.

فن گفت: «وقتی آن را در قالبِ “از همه‌چیز خارج شوید” می‌پیچید، یک هشدار لازم را به محتوای آخرالزمانی تبدیل می‌کنید.» او افزود: «برای جابه‌جا کردن مردم در این فضا به جنجال نیاز ندارید؛ به یک عدد نیاز دارید.»

همین حس را مایکل هاینریش، هم‌بنیان‌گذار و مدیرعامل 0G Labs، نیز تکرار می‌کند؛ او به بهبود حدود ۹۸٪ی امنیت وام‌دهی دیفای نسبت به خط مبنای ۲۰۲۰ اشاره دارد. هاینریش همچنین کاهش محسوس نرخ زیان روزانه در پروتکل‌های بزرگ وام‌دهی—که اکنون حدود ۰.۰۰۱٪ است—را عاملی دیگر می‌داند که اظهارات آرائوز مبنی بر «ناامن بودن همه دیفای» را تضعیف می‌کند.

هاینریش به Bitcoin.com News گفت: «این‌که به خُرده‌فروشان بگویید از بلوچیپ‌هایی مثل Aave و Maker خارج شوند، با تصویر واقعیِ ریسکِ تعدیل‌شده همخوانی ندارد.»

آرائوز در طرح استدلال علیه دیفای اصرار داشت که عامل‌های کدنویسی هوش مصنوعی (AI) در اسکن قراردادهای هوشمند متن‌باز و شناسایی نقص‌های پیچیده قابل سوءاستفاده با سرعت ماشین، فوق‌العاده پیشرفته شده‌اند. تهدید این عامل‌ها آن‌قدر بزرگ است که او به‌صورت خصوصی به دوستان و خانواده‌اش توصیه کرده است که به‌طور کامل از موقعیت‌های خود در پروتکل‌های بزرگ و جاافتاده دیفایِ «بلوچیپ» خارج شوند.

مرگ ممیزی ایستا

با این حال، هاینریش و فن استدلال می‌کنند که ظهور مهاجمان هوش مصنوعیِ فراانسانی به این معنا نیست که مدافعان باید کشتی را ترک کنند. در عوض، آن‌ها می‌گویند این موضوع به یک تغییر بنیادین در نحوه مواجهه صنعت با امنیت نیاز دارد.

فن گفت: «ممیزیِ مقطعی همین حالا هم مرده است؛ فقط هنوز مراسم خاکسپاری‌اش را نگرفته‌اند.» او هشدار داد که رفتنِ کامل از ممیزی به سمت باگ‌بانتی‌ها (bug bounties) درس اشتباهی است. «جایگزینِ پیشگیری با پایش نمی‌شوید — شکاف بین آن‌ها را از بین می‌برید.»

به گفته هاینریش، تکیه بر یک ممیزی سالانه دیگر دفاع قابل‌اعتنایی نیست. در عوض، آینده امنیت قراردادهای هوشمند بر یک خط لوله دفاعی لایه‌لایه با سرعت ماشین متکی است؛ جایی که ممیزی‌ها به‌عنوان نخستین ایست بازرسی عمل می‌کنند نه یک رویداد واحد. او یک پشته امنیتی چهارلایه را ترسیم کرد: ممیزی‌های پیش از استقرار با کمک هوش مصنوعی همراه با بازبینی انسانی، پایش مداوم پس از استقرار، باگ‌بانتی‌های دارای بودجه کافی، و هوش مصنوعیِ قابل‌راستی‌آزمایی در سمت مدافع.

هاینریش گفت هدف نهایی، افزودن راستی‌آزمایی صوری (formal verification) در مسیرهای حیاتی است—به‌کارگیری اثبات‌های ریاضی به‌جای بازبینی‌های ذهنی—در کنار بازبینی‌های پیوستهِ تقویت‌شده با هوش مصنوعی که روی قراردادهای زنده اجرا می‌شوند، همان‌طور که مهاجمان عمل می‌کنند.

او گفت: «ممیزی‌ها حذف نمی‌شوند. آن‌ها به نخستین ایست بازرسی در یک خط لوله دفاعی با سرعت ماشین تبدیل می‌شوند.»

فراتر از خط لوله‌های امنیتیِ پیشگیرانه، بحث کاهش ریسک ناگزیر به بیمه می‌رسد؛ ابزاری پایه‌ای که هاینریش می‌گوید در اکوسیستم کریپتو هنوز به‌شدت توسعه‌نیافته است. به گفته او، چند مانع ساختاری بخش بیمه غیرمتمرکز را محدود نگه داشته‌اند. نخست، صندوق‌های بیمه سرمایه‌ای را قفل می‌کنند که در غیر این صورت می‌توانست در جای دیگری در دیفای بازده فعال کسب کند.

برای روشن کردن این نکته، هاینریش به رهبر بازار Nexus Mutual اشاره می‌کند که حدود ۱۹۰ میلیون دلار در مقابل بازار گسترده‌تری از دیفای نگه می‌دارد؛ بازاری که ارزش کل قفل‌شده (TVL) آن بین ۴۰ میلیارد تا بیش از ۱۰۰ میلیارد دلار در نوسان بوده است. هاینریش می‌گوید این نسبت سرمایه از نظر ساختاری نازک است. مانع دیگر، تعریف این است که چه چیزی «سوءاستفاده درون‌زنجیره‌ای» (on-chain exploit) محسوب می‌شود؛ موضوعی که او آن را کاری غیر ساده توصیف می‌کند.

با وجود این موانع، هاینریش استدلال می‌کند که اعمال الزامات بیمه در سراسر پروتکل‌ها ابزار درستی برای پیشبرد پذیرش نیست. در عوض، صنعت باید در سطح محصول نوآوری کند.

هاینریش گفت: «آن‌چه واقعاً شاخص را جابه‌جا می‌کند، محصولات پارامتریکِ درون‌زنجیره‌ای است که بر اساس سیگنال‌های قابل‌راستی‌آزمایی به‌صورت خودکار پرداخت می‌کنند، و پروتکل‌هایی که بیمه را داخل محصول بسته‌بندی می‌کنند؛ مشابه کاری که کارمزدهای تسویه در بازارهای سنتی انجام می‌دهند.»

تنظیم‌گریِ عملیات، نه فقط کد

اگرچه شبکه ایمنی فعلی باریک است، تقاضای بازار شتاب گرفته است. بر اساس پیش‌بینی مارس ۲۰۲۶ توسط Coinlaw، انتظار می‌رود بازار بیمه غیرمتمرکز تا سال ۲۰۲۹ نزدیک به پنج برابر رشد کند.

هاینریش گفت: «سرمایه در راه است. چیزی که کم است سطح محصول برای به‌کارگیری آن است.»

چرخش درونی صنعت به سمت دفاع با سرعت ماشین و شبکه‌های ایمنی خودکار، پرسش‌های گسترده‌تری درباره نظارت تنظیم‌گری ایجاد می‌کند. با افزایش بررسی‌های سیاست‌گذاران درباره امنیت دارایی‌های دیجیتال، فن هشدار می‌دهد که رگولاتورها ممکن است بیش‌ازحد روی تهدیدهای اشتباه متمرکز شوند؛ مانند شبحِ سامانه‌های هوش مصنوعیِ سرکش.

فن گفت: «غریزه تنظیم‌گریِ هوشمندتر این نیست که مشخصاً درباره مهاجمان هوش مصنوعی دچار وحشت شوید. بلکه باید روی لایه عملیاتی تمرکز کنید؛ جایی که پول واقعاً از آن خارج می‌شود: نگه‌داری کلیدها، حاکمیت چندامضایی (multisig)، امنیت پل‌ها، و پاسخ‌گویی به رخداد.»

فن استدلال می‌کند که با اعمال استانداردهای سخت‌گیرانه امنیت عملیاتی روی این بردارهای مشخص، نهادهای ناظر می‌توانند بخش عظیمی از زیان‌های واقعی سرمایه را حذف کنند. او هشدار داد تمرکز انحصاری بر کد قرارداد هوشمند و نادیده گرفتن عملیات روزمره، به معنای «تنظیم‌گریِ ۱۰٪ و از دست دادن ۹۰٪» است.

علاوه بر این، فن به یک ابزار فنی اشاره کرد که سیاست‌گذاران به‌طور مداوم کم‌ارزش می‌شمارند: رمزنگاری پیشرفته.

فن گفت: «اثبات رمزنگاری، مثل اثبات‌های دانش صفر (zero-knowledge proofs)، درباره این‌که چه کدی اجرا شد و این‌که درست اجرا شد، ابزار انطباق‌پذیری بسیار بهتری نسبت به یک گزارش ممیزی PDF است.» او افزود: «این با ریاضی قابل ممیزی است، نه با اعتماد. انرژی تنظیم‌گری را همان‌جا می‌خواهم ببینم.»