Співзасновник Openzeppelin Мануель Араос викликав широку дискусію в галузі, назвавши децентралізовані фінанси (DeFi) небезпечними. Лідери галузі заперечують, що Араос перебільшує ризики, вказуючи на те, що безпека кредитування в DeFi покращилася приблизно на 98% з 2020 року.
Чи всі DeFi-проекти небезпечні? Лідери галузі висловлюють незгоду після того, як засновник Openzeppelin попередив роздрібних інвесторів про необхідність виходу з «блакитних фішок»
АВТОР
ПОДІЛИТИСЯ
Ключові висновки
- Нещодавні коментарі засновника Openzeppelin Мануеля Араоза знову розпалили побоювання щодо безпеки DeFi.
- Генеральний директор 0G Labs Генріх зазначив, що з 2020 року безпека кредитування зросла на 98%, спростувавши твердження про те, що всі DeFi є небезпечними.
- Прихильник Cysic прогнозує п'ятикратне зростання обсягу страхування до 2029 року, закликаючи регуляторні органи зосередитися на оперативній безпеці, а не на коді штучного інтелекту.
Від драматизму до даних
Коли співзасновник і колишній технічний директор (CTO) Openzeppelin Мануель Араоз охарактеризував децентралізовані фінанси (DeFi) як цілком небезпечні, це сколихнуло галузь, яка вже потерпала від сплеску хакерських атак. Підкреслюючи цю вразливість, нещодавній аналіз компанії з безпеки блокчейнів Peckshield виявив, що лише експлойти міжланцюгових протоколів вивели 328,6 млн доларів з початку року до середини травня.
Вірусні попередження Араоза змусили Openzeppelin публічно дистанціюватися від деяких його тверджень, але ці зауваження все ж спровокували запеклі дебати щодо безпеки DeFi. Проте критики відкинули його драматичну риторику як егоїстичну спробу розпалити страх і паніку. Інші, як-от Лео Фан, засновник Cysic, вважають, що така подача підриває довіру до повідомлення, яке має реальну суть.
«Обернувши це у заклик «виходити з усього», необхідне попередження перетворюється на контент для песимістів», — сказав Фан. «Щоб вплинути на людей у цій сфері, не потрібна драма; потрібні цифри».
Таку ж думку поділяє Майкл Гайнріх, співзасновник і генеральний директор 0G Labs, який вказує на покращення безпеки кредитування DeFi приблизно на 98% порівняно з базовим рівнем 2020 року. Генріх також підкреслює значно знижені щоденні показники втрат у основних протоколах кредитування, які зараз становлять близько 0,001%, як ще один фактор, що спростовує коментарі Араоза про те, що «усі DeFi є небезпечними».
«Радити роздрібним інвесторам виходити з таких «блакитних фішок», як Aave та Maker, не відповідає реальній картині з урахуванням ризиків», — сказав Генріх у коментарі Bitcoin.com News.
Аргументуючи проти DeFi, Араоз наголошував, що агенти з кодування штучного інтелекту (ШІ) стали неймовірно досконалими у скануванні смарт-контрактів з відкритим кодом та виявленні складних вразливостей, які можна експлуатувати, зі швидкістю машини. Загроза, яку становлять ці агенти, настільки велика, що він приватно порадив своїм друзям та родичам повністю вийти зі своїх позицій у основних, давно усталених «блакитних фішках» протоколів DeFi.
Смерть статичного аудиту
Однак Гайнріх і Фан стверджують, що поява надлюдських зловмисників на базі ШІ не означає, що захисники повинні покинути корабель. Натомість, за їхніми словами, це вимагає фундаментальної зміни підходу галузі до безпеки.
«Одномоментний аудит уже мертвий; просто люди ще не провели похорон», — сказав Фан. Він попередив, що повний перехід від аудитів до програм винагород за виявлення багів є неправильним висновком. «Не можна замінити профілактику моніторингом — потрібно скоротити розрив між ними».
За словами Гайнріха, покладатися на щорічний аудит більше не є надійним захистом. Натомість майбутнє безпеки смарт-контрактів залежить від багаторівневої системи захисту, що працює зі швидкістю машини, де аудити слугують першим контрольним пунктом, а не окремою подією. Він окреслив чотирирівневу систему безпеки: аудити з використанням штучного інтелекту перед розгортанням у поєднанні з перевіркою людиною, безперервний моніторинг після розгортання, добре фінансувані програми винагород за виявлення багів та перевірений штучний інтелект на стороні захисника.
Генріх зазначив, що кінцевою метою є впровадження формальної верифікації на критичних шляхах — з використанням математичних доказів замість суб’єктивних перевірок — поряд із безперервними перевірками, доповненими штучним інтелектом, що виконуються на діючих контрактах так само, як діють зловмисники.
«Аудити нікуди не зникнуть», — сказав він. «Вони стають першим контрольним пунктом у ланцюжку захисту, що працює зі швидкістю машини».
Окрім превентивних ланцюжків безпеки, розмова про зменшення ризиків неминуче переходить до страхування — елементарної функції, яка, як зазначає Гайнріх, залишається вкрай недорозвиненою в криптоекосистемі. За словами Гайнріха, декілька структурних перешкод стримують розвиток сектору децентралізованого страхування. По-перше, страхові пули блокують капітал, який інакше міг би приносити активний дохід в інших сферах DeFi.
Щоб проілюструвати цю тезу, Гайнріх вказує на лідера ринку Nexus Mutual, який володіє приблизно 190 мільйонами доларів на тлі ширшого ринку DeFi, загальна заблокована вартість якого коливалася від 40 до понад 100 мільярдів доларів. Гайнріх зазначає, що цей коефіцієнт капіталу є структурно низьким. Іншою перешкодою є визначення того, що саме становить експлойт у ланцюгу, що, за його словами, є нетривіальним завданням.
Незважаючи на ці перешкоди, Гайнріх стверджує, що впровадження обов'язкового страхування в протоколах є неправильним інструментом для стимулювання впровадження. Натомість галузь повинна впроваджувати інновації на рівні продукту.
«Що насправді рухає ситуацію вперед, так це параметричні продукти в ланцюгу, які автоматично виплачують кошти за перевіреними сигналами, та протоколи, які об'єднують страхування в продукт так, як працюють клірингові збори на традиційних ринках», — сказав Гайнріх.
Регулювання операцій, а не лише коду
Хоча нинішня система безпеки є обмеженою, попит на ринку зростає. Згідно з прогнозом Coinlaw від березня 2026 року, до 2029 року ринок децентралізованого страхування має зрости майже вп'ятеро.
«Капітал надходить», — зазначив Гайнріх. «Чого бракує, так це продуктової поверхні для його розгортання».
Внутрішній зсув галузі в бік захисту зі швидкістю машин та автоматизованих систем безпеки порушує ширші питання щодо регуляторного нагляду. У той час як політики дедалі ретельніше вивчають безпеку цифрових активів, Фан застерігає, що регулятори ризикують надмірно зосередитися на неправильних загрозах, таких як привид зловмисних систем штучного інтелекту.
«Розумніший регуляторний підхід полягає не в тому, щоб панікувати саме через зловмисників, що використовують ШІ, — сказав Фан. — А в тому, щоб зосередитися на операційному рівні, де фактично витікають гроші: ключове зберігання, управління з багатопідписом, безпека мостів та реагування на інциденти».
Фан стверджує, що, запровадивши суворі стандарти операційної безпеки щодо цих конкретних векторів, органи нагляду могли б усунути переважну більшість реальних втрат капіталу. Він попередив, що зосередження виключно на коді смарт-контрактів, нехтуючи повсякденними операціями, рівнозначне «регулюванню 10% і пропущенню 90%».
Крім того, Фан вказав на технічний примитив, який політики постійно недооцінюють: передову криптографію.
«Криптографічний доказ, такий як докази з нульовим розкриттям інформації, того, який код виконувався і що він виконувався правильно, є набагато кращим елементом дотримання вимог, ніж аудиторський звіт у форматі PDF», — сказав Фан. «Його можна перевірити математично, а не на основі довіри. Саме на це я хотів би спрямувати зусилля регуляторних органів».
