מייסד-שותף של Openzeppelin, מנואל אראוז, הצית דיון נרחב בתעשייה כשהגדיר את הפיננסים המבוזרים (DeFi) כלא בטוחים. מנהיגי התעשייה השיבו שמסגורו של אראוז מגזים בסיכון, ומציינים כי אבטחת ההלוואות ב‑DeFi השתפרה בכ־98% מאז 2020.
האם כל ה-DeFi אינו בטוח? מובילי התעשייה דוחפים בחזרה לאחר שמייסד OpenZeppelin מזהיר משקיעים קמעונאיים לצאת מהבלו-צ'יפס
נכתב ע"י
שתף
תובנות מרכזיות
- הדברים האחרונים של מייסד Openzeppelin, מנואל אראוז, הציתו מחדש חששות לגבי אבטחת DeFi.
- מנכ״ל 0G Labs, היינריך, ציין עלייה של 98% בבטיחות ההלוואות מאז 2020, מה שמחליש טענות שלפיהן כל ה‑DeFi אינו בטוח.
- ליאו פאן מ‑Cysic צופה זינוק של פי חמישה בביטוח עד 2029, וקורא לרגולטורים להתמקד באבטחה תפעולית (opsec) במקום בקוד AI.
מעוברים מדרמה לנתונים
כאשר מייסד-שותף של Openzeppelin ומנהל הטכנולוגיה הראשי (CTO) לשעבר, מנואל אראוז, תיאר את הפיננסים המבוזרים (DeFi) כלא בטוחים לחלוטין, הדבר טלטל תעשייה שכבר הייתה נסערת בשל עלייה בפריצות. תוך הדגשת נקודת התורפה הזו, ניתוח עדכני של חברת אבטחת הבלוקצ׳יין Peckshield מצא כי ניצולים של פרוטוקולים בין-שרשרתיים בלבד רוקנו 328.6 מיליון דולר בין תחילת השנה לאמצע מאי.
האזהרות הוויראליות של אראוז אילצו את Openzeppelin להתרחק פומבית מחלק מטענותיו, אך הדברים הצליחו להצית דיון סוער על אבטחת DeFi. עם זאת, מבקרים דחו את שפתו הדרמטית כניסיון משרת-עצמו לעורר פחד ופאניקה. אחרים, כמו ליאו פאן, מייסד Cysic, סבורים שהמסגור פוגע באמינותו של מסר שיש לו גרעין אמיתי.
“לעטוף את זה ב׳צאו מהכול׳ הופך אזהרה נחוצה לתוכן דיסטופי,” אמר פאן. “לא צריך דרמה כדי להזיז אנשים בתחום הזה; צריך מספר.”
אותו הלך רוח מהדהד גם אצל מייקל היינריך, מייסד-שותף ומנכ״ל 0G Labs, שמצביע על שיפור של כ־98% באבטחת ההלוואות ב‑DeFi ביחס לקו הבסיס של 2020. היינריך גם מדגיש את שיעורי ההפסד היומיים הנמוכים משמעותית בפרוטוקולי הלוואות מובילים, שכעת עומדים על כ־0.001%, כגורם נוסף שמערער את דברי אראוז שלפיהם “כל ה‑DeFi אינו בטוח”.
“להגיד לקמעונאים לצאת מבלו-צ׳יפים כמו Aave ו‑Maker לא תואם את תמונת הסיכון המתואמת בפועל,” אמר היינריך ל‑Bitcoin.com News.
במסגרת הטיעון נגד DeFi, אראוז התעקש שסוכני קידוד של בינה מלאכותית (AI) הפכו למתקדמים באופן מדהים בסריקת חוזים חכמים בקוד פתוח ובזיהוי פגמים מורכבים שניתנים לניצול במהירות מכונה. האיום שמציבים סוכנים אלה כה גדול עד שלדבריו הוא ייעץ באופן פרטי לחברים ולמשפחה שלו לצאת לחלוטין מהפוזיציות שלהם בפרוטוקולי DeFi “בלו-צ׳יפ” גדולים ומבוססים.
מותו של האודיט הסטטי
עם זאת, היינריך ופאן טוענים שעלייתם של תוקפי AI על-אנושיים אינה אומרת שמגינים צריכים לנטוש את הספינה. במקום זאת, לדבריהם הדבר מחייב שינוי יסודי באופן שבו התעשייה ניגשת לאבטחה.
“האודיט הנקודתי בזמן כבר מת; אנשים פשוט עדיין לא ערכו לו הלוויה,” אמר פאן. הוא הזהיר שהמעבר המלא מאודיטים לבאונטי באגים הוא הלקח הלא נכון. “לא מחליפים מניעה בניטור — מצמצמים את הפער ביניהם עד שהוא קורס.”
לדברי היינריך, הסתמכות על אודיט שנתי כבר אינה הגנה אמינה. במקום זאת, עתיד אבטחת החוזים החכמים נשען על צינור הגנה רב-שכבתי במהירות מכונה, שבו אודיטים משמשים כנקודת בדיקה ראשונה ולא כאירוע יחיד. הוא תיאר ערמת אבטחה בת ארבע שכבות: אודיטים בסיוע AI לפני פריסה, יחד עם סקירה אנושית; ניטור רציף לאחר פריסה; תוכניות באונטי מתוקצבות היטב; ו‑AI בר-אימות בצד המגן.
המטרה הסופית, ציין היינריך, היא לשלב אימות פורמלי בנתיבים קריטיים — שימוש בהוכחות מתמטיות במקום סקירות סובייקטיביות — לצד סקירות רציפות מוגברות‑AI שרצות מול חוזים חיים באותה צורה שבה פועלים תוקפים.
“אודיטים לא נעלמים,” אמר. “הם הופכים לנקודת הבדיקה הראשונה בצינור הגנה במהירות מכונה.”
מעבר לצינורות אבטחה מונעת, הדיון על צמצום סיכונים מוביל באופן בלתי נמנע לביטוח — פרימיטיב שהיינריך מציין שנותר לא מפותח באופן חמור באקוסיסטם הקריפטו. לדברי היינריך, כמה חסמים מבניים משאירים את תחום הביטוח המבוזר מוגבל. ראשית, מאגרי ביטוח נועלים הון שאחרת היה יכול להניב תשואה פעילה במקום אחר ב‑DeFi.
כדי להמחיש נקודה זו, היינריך מצביע על מובילת השוק Nexus Mutual, שמחזיקה כ‑190 מיליון דולר מול שוק DeFi רחב יותר שנע בין 40 מיליארד ליותר מ‑100 מיליארד דולר בערך כולל נעול (TVL). היינריך מציין שיחס ההון הזה דל באופן מבני. חסם נוסף הוא ההגדרה מה נחשב לניצול (exploit) על השרשרת, תרגיל שהוא מתאר כלא טריוויאלי.
למרות החסמים הללו, היינריך טוען שאכיפת חובות ביטוח רוחביות על פני פרוטוקולים היא הכלי הלא נכון לקידום אימוץ. במקום זאת, התעשייה חייבת לחדש ברמת המוצר.
“מה שבאמת מזיז את המחוג הם מוצרים פרמטריים על השרשרת שמשלמים אוטומטית על סמך אותות ניתנים לאימות, ופרוטוקולים שמאגדים ביטוח לתוך המוצר כמו שעמלות סליקה עובדות בשווקים המסורתיים,” אמר היינריך.
רגולציה של תפעול, לא רק של קוד
למרות שרשת הביטחון הנוכחית צרה, הביקוש בשוק מואץ. לפי תחזית ממרץ 2026 של Coinlaw, שוק הביטוח המבוזר צפוי לגדול כמעט פי חמישה עד 2029.
“ההון מגיע,” ציין היינריך. “מה שחסר הוא משטח מוצר כדי לפרוס אותו.”
המעבר הפנימי של התעשייה לעבר הגנה במהירות מכונה ורשתות ביטחון אוטומטיות מעלה שאלות רחבות יותר לגבי פיקוח רגולטורי. בעוד קובעי מדיניות בוחנים יותר ויותר את אבטחת הנכסים הדיגיטליים, פאן מזהיר שרגולטורים עלולים להתמקד יתר על המידה באיומים הלא נכונים, כמו רוח הרפאים של מערכות AI סוררות.
“האינסטינקט הרגולטורי החכם יותר אינו להיכנס לפאניקה בגלל תוקפי AI ספציפית,” אמר פאן. “אלא להתמקד בשכבה התפעולית שבה הכסף באמת יוצא: משמורת מפתחות, ממשל multisig, אבטחת גשרים, ותגובה לאירועים.”
פאן טוען כי באמצעות אכיפת תקני אבטחה תפעולית מחמירים על הווקטורים הספציפיים הללו, גופי פיקוח יוכלו לחסל את הרוב המכריע של הפסדי ההון בעולם האמיתי. התמקדות בלעדית בקוד של חוזים חכמים תוך הזנחת התפעול היומיומי, הוא הזהיר, שקולה ל”רגולציה של ה‑10% והחמצה של ה‑90%”.
בנוסף, פאן הצביע על פרימיטיב טכני שקובעי מדיניות מעריכים בחסר בעקביות: קריפטוגרפיה מתקדמת.
“הוכחה קריפטוגרפית, כמו הוכחות אפס-ידע, של איזה קוד רץ ושזה רץ נכון היא פרימיטיב ציות הרבה יותר טוב מדוח אודיט ב‑PDF,” אמר פאן. “זה ניתן לביקורת באמצעות מתמטיקה, לא באמצעות אמון. לשם הייתי רוצה שהאנרגיה הרגולטורית תלך.”
