Openzeppelin-medgrunnlegger Manuel Aráoz utløste en omfattende bransjedebatt ved å kalle desentralisert finans (DeFi) utrygt. Bransjeledere svarer at Aráoz’ innramming overdriver risikoen, og peker på at sikkerheten i DeFi-utlån har blitt forbedret med omtrent 98 % siden 2020.
Er all DeFi utrygt? Bransjeledere slår tilbake etter at OpenZeppelins grunnlegger advarer privatkunder om å trekke seg ut av blue-chip-prosjekter
SKREVET AV
DEL
Viktige poeng
- Openzeppelin-grunnlegger Manuel Aráoz’ nylige kommentarer vekket på nytt frykten for DeFi-sikkerhet.
- 0G Labs-sjef Heinrich viste til en økning på 98 % i utlånssikkerhet siden 2020, noe som svekker påstanden om at all DeFi er utrygt.
- Leo Fan i Cysic ser for seg en femdobling i forsikringsmarkedet innen 2029, og oppfordrer regulatorer til å rette innsatsen mot operasjonell sikkerhet fremfor AI-kode.
Fra drama til data
Da Openzeppelin-medgrunnlegger og tidligere teknologidirektør (CTO) Manuel Aráoz beskrev desentralisert finans (DeFi) som fullstendig utrygt, rystet det en bransje som allerede var preget av en økning i hacks. Som understrekning av denne sårbarheten fant en nylig analyse fra blokkjede-sikkerhetsselskapet Peckshield at utnyttelser av krysskjedede protokoller alene tappet 328,6 millioner dollar mellom årets start og midten av mai.
Aráoz’ virale advarsler tvang Openzeppelin til offentlig å ta avstand fra noen av påstandene hans, men uttalelsene lyktes med å utløse en intens debatt om DeFi-sikkerhet. Likevel avfeide kritikere den dramatiske retorikken som et egeninteressert forsøk på å skape frykt og panikk. Andre, som Leo Fan, grunnlegger av Cysic, mener innrammingen undergraver troverdigheten til et budskap som har en reell kjerne.
“Å pakke det inn i ‘gå ut av alt’ gjør en nødvendig advarsel til dommedagsinnhold,” sa Fan. “Du trenger ikke drama for å få folk til å bevege seg i dette miljøet; du trenger et tall.”
Den samme oppfatningen deles av Michael Heinrich, medgrunnlegger og CEO i 0G Labs, som peker på den omtrent 98 % store forbedringen i sikkerheten i DeFi-utlån fra 2020-nivået. Heinrich fremhever også de markant reduserte daglige tapstallene på store utlånsprotokoller, nå rundt 0,001 %, som en annen faktor som svekker Aráoz’ kommentarer om at “all DeFi er utrygt”.
“Å be retail-investorer om å forlate blue-chips som Aave og Maker samsvarer ikke med det faktiske risikojusterte bildet,” sa Heinrich til Bitcoin.com News.
I sitt argument mot DeFi insisterte Aráoz på at kunstig intelligens (AI)-kodeagenter har blitt utrolig avanserte til å skanne åpne smartkontrakter og identifisere komplekse, utnyttbare feil i maskinhastighet. Trusselen fra disse agentene er så stor at han privat har rådet venner og familie til å gå helt ut av posisjonene sine i store, veletablerte “blue-chip” DeFi-protokoller.
Den statiske revisjonens død
Heinrich og Fan argumenterer imidlertid for at fremveksten av overmenneskelige AI-angripere ikke betyr at forsvarerne bør forlate skuta. Tvert imot, sier de, krever det et grunnleggende skifte i hvordan bransjen tilnærmer seg sikkerhet.
“Punkt-i-tid-revisjonen er allerede død; folk har bare ikke holdt begravelsen,” sa Fan. Han advarte om at å flytte seg helt fra revisjoner til bug bounties er feil lærdom. “Du erstatter ikke forebygging med overvåking — du kollapser gapet mellom dem.”
Ifølge Heinrich er det ikke lenger et troverdig forsvar å lene seg på en årlig revisjon. I stedet ligger fremtiden for sikkerhet i smartkontrakter i en lagdelt forsvarspipeline i maskinhastighet, der revisjoner fungerer som første kontrollpunkt snarere enn en engangshendelse. Han skisserte en sikkerhetsstack i fire lag: AI-assisterte revisjoner før lansering kombinert med menneskelig gjennomgang, kontinuerlig overvåking etter lansering, godt finansierte bug bounties, og verifiserbar AI på forsvarersiden.
Det endelige målet, bemerket Heinrich, er å innarbeide formell verifikasjon på kritiske flyter—ved å bruke matematiske bevis i stedet for subjektive vurderinger—samt kontinuerlige, AI-forsterkede gjennomganger som kjøres mot levende kontrakter på samme måte som angripere opererer.
“Revisjoner forsvinner ikke,” sa han. “De blir det første kontrollpunktet i en forsvarspipeline i maskinhastighet.”
Utover forebyggende sikkerhetspipeliner dreier samtalen om risikoredusering uunngåelig mot forsikring, en byggestein som Heinrich påpeker fortsatt er sterkt underutviklet i kryptoøkosystemet. Ifølge Heinrich er det noen strukturelle hindre som holder den desentraliserte forsikringssektoren tilbake. For det første binder forsikringspooler kapital som ellers kunne ha gitt aktiv avkastning andre steder i DeFi.
For å illustrere dette peker Heinrich på markedslederen Nexus Mutual, som holder omtrent 190 millioner dollar opp mot et bredere DeFi-marked som har svingt mellom 40 milliarder og over 100 milliarder i total verdi låst. Heinrich bemerker at dette kapitalforholdet er strukturelt tynt. Et annet hinder er å definere hva som utgjør en on-chain-utnyttelse, noe han beskriver som en ikke-triviell øvelse.
Til tross for disse hindrene mener Heinrich at å håndheve forsikringskrav på tvers av protokoller er feil verktøy for å drive adopsjon. I stedet må bransjen innovere på produktnivå.
“Det som faktisk flytter nåla er parametriske on-chain-produkter som utbetaler automatisk basert på verifiserbare signaler, og protokoller som bygger forsikring inn i produktet på samme måte som clearinggebyrer fungerer i tradisjonelle markeder,” sa Heinrich.
Regulering av drift, ikke bare kode
Selv om dagens sikkerhetsnett er smalt, øker markedets etterspørsel. Ifølge en prognose fra Coinlaw fra mars 2026 er markedet for desentralisert forsikring forventet å vokse nær fem ganger innen 2029.
“Kapitalen kommer,” bemerket Heinrich. “Det som mangler er produktoverflaten å plassere den i.”
Bransjens interne skifte mot forsvar i maskinhastighet og automatiserte sikkerhetsnett reiser bredere spørsmål om regulatorisk tilsyn. Etter hvert som beslutningstakere i økende grad gransker sikkerheten i digitale eiendeler, advarer Fan om at regulatorer risikerer å hyperfokusere på feil trusler, som spøkelset av løpske AI-systemer.
“Det smartere regulatoriske instinktet er ikke å få panikk over AI-angripere spesielt,” sa Fan. “Det er å fokusere på det operative laget der pengene faktisk forsvinner: nøkkelforvaring, multisig-styring, bro-sikkerhet og hendelseshåndtering.”
Fan mener at ved å håndheve strenge standarder for operasjonell sikkerhet på disse konkrete vektorene, kan tilsynsorganer eliminere det store flertallet av reelle kapitaltap. Å fokusere utelukkende på smartkontraktkode mens man neglisjerer den daglige driften, advarte han, tilsvarer å “regulere de 10 % og overse de 90 %”.
Videre pekte Fan på en teknisk byggestein som beslutningstakere konsekvent undervurderer: avansert kryptografi.
“Kryptografisk bevis, som nullkunnskapsbevis, for hvilken kode som kjørte og at den kjørte korrekt, er en langt bedre etterlevelsesbyggestein enn en PDF-revisjonsrapport,” sa Fan. “Den kan revideres med matematikk, ikke med tillit. Det er dit jeg ville lagt regulatorisk energi.”
