Manuel Aráoz, medeoprichter van Openzeppelin, heeft een brede discussie in de sector op gang gebracht door gedecentraliseerde financiering (DeFi) onveilig te noemen. Kopstukken uit de sector stellen daarentegen dat Aráoz de risico’s overdrijft en wijzen erop dat de veiligheid van DeFi-leningen sinds 2020 met ongeveer 98% is verbeterd.
Is alle DeFi onveilig? Marktleiders reageren verontwaardigd nadat de oprichter van Openzeppelin particuliere beleggers waarschuwt om uit blue chips te stappen
GESCHREVEN DOOR
DELEN
Belangrijkste conclusies
- De recente opmerkingen van Manuel Aráoz, oprichter van Openzeppelin, hebben de bezorgdheid over de veiligheid van DeFi opnieuw aangewakkerd.
- Heinrich, CEO van 0G Labs, merkte op dat de veiligheid van leningen sinds 2020 met 98% is toegenomen, waarmee hij de bewering dat alle DeFi onveilig is, onderuit haalt.
- Een fan van Cysic verwacht een vervijfvoudiging van de verzekeringen tegen 2029 en dringt er bij toezichthouders op aan om zich te richten op opsec in plaats van op AI-code.
Van drama naar data
Toen Manuel Aráoz, medeoprichter en voormalig Chief Technology Officer (CTO) van Openzeppelin, gedecentraliseerde financiering (DeFi) als volstrekt onveilig bestempelde, bracht dat de sector, die al aan het wankelen was door een piek in het aantal hacks, nog verder in rep en roer. Een recente analyse door blockchainbeveiligingsbedrijf Peckshield onderstreepte die kwetsbaarheid en stelde vast dat alleen al exploits van cross-chain-protocollen tussen het begin van het jaar en half mei 328,6 miljoen dollar hebben gekost.
De virale waarschuwingen van Aráoz dwongen Openzeppelin om zich publiekelijk te distantiëren van sommige van zijn beweringen, maar de opmerkingen slaagden erin een felle discussie over DeFi-beveiliging op gang te brengen. Toch deden critici zijn dramatische taal af als een egoïstische poging om angst en paniek te zaaien. Anderen, zoals Leo Fan, oprichter van Cysic, zijn van mening dat de framing de geloofwaardigheid ondermijnt van een boodschap die een reële kern heeft.
"Door het te verpakken in 'stap uit alles' verandert een noodzakelijke waarschuwing in doemdenken," zei Fan. "Je hebt geen drama nodig om mensen in deze sector in beweging te brengen; je hebt cijfers nodig."
Hetzelfde sentiment wordt gedeeld door Michael Heinrich, medeoprichter en CEO van 0G Labs, die wijst op de verbetering van ongeveer 98% in de veiligheid van DeFi-leningen ten opzichte van het uitgangspunt in 2020. Heinrich benadrukt ook de aanzienlijk lagere dagelijkse verliespercentages bij grote kredietprotocollen, die nu rond de 0,001% liggen, als een andere factor die de opmerkingen van Aráoz dat "alle DeFi onveilig is" ondermijnt.
"Retailers vertellen dat ze uit blue-chips zoals Aave en Maker moeten stappen, komt niet overeen met het werkelijke risicogecorrigeerde beeld," vertelde Heinrich aan Bitcoin.com News.
In zijn betoog tegen DeFi benadrukte Aráoz dat coderingsagenten op basis van kunstmatige intelligentie (AI) ongelooflijk geavanceerd zijn geworden in het scannen van open-source smart contracts en het identificeren van complexe, exploiteerbare fouten met de snelheid van een machine. De dreiging die deze agenten vormen is zo groot dat hij zijn vrienden en familie persoonlijk heeft geadviseerd om hun posities in grote, lang gevestigde "blue-chip" DeFi-protocollen volledig te sluiten.
De dood van de statische audit
Heinrich en Fan stellen echter dat de opkomst van bovenmenselijke AI-aanvallers niet betekent dat verdedigers het schip moeten verlaten. In plaats daarvan zeggen ze dat het een fundamentele verschuiving vereist in hoe de sector beveiliging benadert.
"De punt-in-tijd-audit is al dood; mensen hebben alleen de begrafenis nog niet gehouden," zei Fan. Hij waarschuwde dat een volledige verschuiving van audits naar bug bounties de verkeerde les is. "Je vervangt preventie niet door monitoring — je dicht de kloof tussen beide."
Volgens Heinrich is het vertrouwen op een jaarlijkse audit niet langer een geloofwaardige verdediging. In plaats daarvan berust de toekomst van de beveiliging van slimme contracten op een machine-snelle, gelaagde verdedigingspijplijn waarin audits dienen als het eerste controlepunt in plaats van als een eenmalige gebeurtenis. Hij schetste een vierlaagse beveiligingsstack: AI-ondersteunde audits vóór de implementatie in combinatie met menselijke beoordeling, continue monitoring na de implementatie, goed gefinancierde bugbounties en verifieerbare AI aan de verdedigingszijde.
Het uiteindelijke doel, merkte Heinrich op, is het integreren van formele verificatie op kritieke paden – met behulp van wiskundige bewijzen in plaats van subjectieve beoordelingen – naast continue, door AI aangevulde beoordelingen die op live contracten worden uitgevoerd, op dezelfde manier als aanvallers te werk gaan.
"Audits verdwijnen niet", zei hij. "Ze worden het eerste controlepunt in een verdedigingspijplijn op machinesnelheid."
Naast preventieve beveiligingspijplijnen komt het gesprek over risicobeperking onvermijdelijk op verzekeringen, een basiselement dat volgens Heinrich nog ernstig onderontwikkeld is in het crypto-ecosysteem. Volgens Heinrich worden er een paar structurele hindernissen de gedecentraliseerde verzekeringssector in de weg staan. Ten eerste leggen verzekeringspools kapitaal vast dat anders elders in DeFi actief rendement zou kunnen opleveren.
Om dit punt te illustreren, wijst Heinrich op marktleider Nexus Mutual, die ongeveer 190 miljoen dollar in bezit heeft tegenover een bredere DeFi-markt die schommelde tussen 40 miljard en meer dan 100 miljard dollar aan totale vergrendelde waarde. Heinrich merkt op dat deze kapitaalratio structureel laag is. Een andere hindernis is het definiëren van wat een on-chain-exploit is, wat hij omschrijft als een niet-triviale exercitie.
Ondanks deze hindernissen stelt Heinrich dat het opleggen van verzekeringsverplichtingen aan alle protocollen het verkeerde middel is om de acceptatie te stimuleren. In plaats daarvan moet de sector innoveren op productniveau.
"Wat echt het verschil maakt, zijn parametrische on-chain-producten die automatisch uitkeren bij verifieerbare signalen, en protocollen die verzekering in het product bundelen, zoals clearingkosten in traditionele markten werken," aldus Heinrich.
Regulering van activiteiten, niet alleen van code
Hoewel het huidige vangnet beperkt is, neemt de marktvraag toe. Volgens een prognose van Coinlaw uit maart 2026 zal de gedecentraliseerde verzekeringsmarkt tegen 2029 naar verwachting bijna vervijfvoudigen.
"Het kapitaal komt eraan," merkte Heinrich op. "Wat ontbreekt, is het productoppervlak om het in te zetten."
"De interne verschuiving binnen de sector naar verdediging op machinesnelheid en geautomatiseerde vangnetten roept bredere vragen op over toezicht door de regelgever. Nu beleidsmakers de beveiliging van digitale activa steeds kritischer bekijken, waarschuwt Fan dat toezichthouders het risico lopen zich te veel te richten op de verkeerde bedreigingen, zoals het spookbeeld van malafide AI-systemen."
"Het slimmere instinct van de toezichthouder is niet om specifiek in paniek te raken over AI-aanvallers," zei Fan. "Het is om zich te richten op de operationele laag waar het geld daadwerkelijk wegvloeit: sleutelbewaring, multisig-beheer, brugbeveiliging en incidentrespons."
Fan stelt dat toezichthouders het overgrote deel van de daadwerkelijke kapitaalverliezen zouden kunnen elimineren door strenge operationele beveiligingsnormen op deze specifieke vectoren af te dwingen. Als men zich uitsluitend richt op de code van slimme contracten en de dagelijkse operaties verwaarloost, waarschuwde hij, komt dat neer op "het reguleren van de 10% en het missen van de 90%."
Bovendien wees Fan op een technisch element dat beleidsmakers consequent onderschatten: geavanceerde cryptografie.
"Cryptografisch bewijs, zoals zero-knowledge proofs, van welke code is uitgevoerd en dat deze correct is uitgevoerd, is een veel betere compliance-primitief dan een PDF-auditrapport," zei Fan. "Het is controleerbaar door wiskunde, niet door vertrouwen. Dat is waar ik de regelgevende energie naartoe zou willen sturen."
