AI wird bald der strengste Vater von DeFi sein. Kommt die größte Krise von Web3?

Früher habe ich einen Artikel gegen Web4 geschrieben und habe das Gefühl, dass die großen Typen jetzt, um ihre Erzählung zu verkaufen und die Leute abzuzocken, einfach zu wenig Wissen haben. Ich habe auch vorhergesagt, dass die Angriffe von AI auf Web3-Projekte sicherlich zunehmen werden. Mehr Hacker, mehr professionellere Hacker, mehr Hacker, die in der Lage sind, groß angelegte Angriffe durchzuführen, was die gesamte Krypto-Welt erschüttern könnte.
Was kommen sollte, ist letztendlich gekommen. AI wird zum Vater von Web3.
Am 18. April, ohne jegliche Vorwarnung, führte eine gefälschte Anweisung dazu, dass die gesamte Branche ins Chaos gestürzt wurde. Nahezu 300 Millionen Dollar verschwanden in der Luft, der Branchenmaßstab Aave wurde ins Wasser gezogen, Milliarden von Dollar flohen in Panik, Gerüchte machten die Runde, und sogar einige glauben, dass DEFI bald zusammenbrechen wird.
Komm schon, durchschau es.
Ereignisübersicht.Der Urheber ist Kelp DAO, das Cross-Chain und Re-Staking macht. Eigentlich war es ein normales Geschäft, aber es hat einen Fehler gemacht, der nicht niedriger sein könnte.
Es verwendet die LayerZero-Architektur, und die Cross-Chain-Nachricht benötigt eine DVN-Überprüfung, was dem Sicherheitspersonal an der Tür entspricht. Das Ergebnis ist, dass es nur einen DVN bereitgestellt hat.
Das bedeutet, solange man diese Sicherheitsunterschrift fälschen kann, kann man einfach einen Befehl senden, und das System wird brav gehorchen.
Am Nachmittag des 18. April nutzte ein Hacker diese Schwachstelle, schickte eine gefälschte Anweisung, das System hatte keinen Verdacht und erzeugte direkt im Ethereum-Hauptnetz 116.500 rsETH, ohne dass es eine echte Vermögensunterstützung gab. Das ist, als hätte der Hacker sein eigenes falsches Geld gedruckt, und das System erkannte es als echtes Geld an.
Das ist nicht neu, Hacker sind ziemlich schlau. Sie haben kein falsches Geld direkt geworfen, sondern es in $AAVE  eingezahlt.
Als Aave gerade das entsprechende Modell von rsETH einführte, betrug die Besicherungsquote 93%. Die Hacker haben sich mit diesen gefälschten Vermögenswerten etwa 200 Millionen Dollar WETH geliehen und echte Währung gegen Luft getauscht.
Als Kelp bemerkte, dass etwas nicht stimmte, fror es das Protokoll 46 Minuten später dringend ein, doch da war es bereits zu spät.
rsETH hat den Rückgabewert verloren, Aave hat nur noch einen Haufen unverwertbarer gefälschter Sicherheiten, was zu potenziellen faulen Krediten von etwa 195 Millionen Dollar führt.
Nachdem die Nachricht herauskam, sank das TVL von Aave von 26,4 Milliarden Dollar auf 17 Milliarden Dollar, fast 10 Milliarden Dollar Kapital floh, und die Nutzung von WETH stieg auf 100%, normale Einleger konnten zeitweise kein Geld abheben.
Interessanterweise bleibt ein anderer Kreditvergabe-Plattform, SparkLend, unbeschadet, während die Token $SPK  stark steigen.
Denn sie haben vor drei Monaten rsETH mit der Begründung, dass die Nutzung niedrig sei, zurückgezogen. Dazu kommen Geschwindigkeitsbeschränkungen und der Schutz durch Drittanbieter-Orakel. Selbst wenn sie nicht zurückgezogen hätten, könnten die Verluste kontrolliert werden. Plötzlich ist es attraktiv geworden.
Um ehrlich zu sein, wenn sogar Aave, dieses alte Tier, hereingelegt werden kann, ist das schon etwas, das einen die Augenbrauen hochziehen lässt. Wichtiger ist, dass es ein lange ignoriertes Problem aufwirft.
AI unterstützt Hacker und bringt eine starke Bedrohung für das gesamte DEFI mit sich. In den letzten Tagen gab es bereits Anzeichen, und ich habe sogar einen speziellen Artikel darüber geschrieben.
Anthropic enthüllt den "Glasflügel-Plan": AI ist so mächtig, dass gewöhnliche Programmierer das Netzwerk kaputt machen können?
Früher mussten Hacker die Codes und die Verschlüsselung verstehen, die Eintrittsbarriere war sehr hoch.
Jetzt ist es anders, AI kann automatisch nach Schwachstellen scannen, die Kosten für den Angriff eines Vertrags sind bereits auf 1,22 Dollar gesunken.
Normale Menschen mit einem Budget von ein paar tausend Dollar können AI dazu bringen, automatisch nach Schwachstellen zu scannen und Angriffsanweisungen zu generieren, ohne eine einzige Zeile Code zu schreiben.
Wichtiger ist, dass Hacker jetzt nicht mehr auf Code-Schwächen achten, sondern Probleme auf der Governance-Ebene angreifen, die nicht codiert sind.
Diese blinden Flecken können durch traditionelle Audits nicht aufgedeckt werden, AI kann sie jedoch leicht erfassen. Der Fehler von Kelp ist das beste Beispiel.
Selbst ich bin unruhig und möchte einen großen Schlag ausführen, und zwar gegen die einzelnen Projektteams. Beachte, dass ich es sogar will. Ich, der keine Programmierkenntnisse hat, will es. Was ist mit denen, die das schon immer gemacht haben?
So schrecklich, töten, töten! Töten!! Leere sie aus.
Rüpel können nicht nur Kung Fu, sondern auch Raketenwerfer!
Was soll man tun?
Alle möglichen Sorgen tauchen auf. Neben dem Rückzug aus DEFI-Projekten gibt es bereits Stimmen, die sagen, dass ETH bald dreistellig sein wird (von über 3000 auf unter 1000).
In Wirklichkeit hat sich nur das Spiel geändert. Die Zeit, in der man sein Geld blind in DeFi stecken konnte, um passiv zu verdienen, ist vorbei.
Im Gegensatz zu Web2 sind die Angriffsflächen von Web3 viel dichter. Es sind nicht nur die Code-Schwächen, die hier ein Problem darstellen. Governance, Berechtigungen, Konfigurationen usw. können ebenfalls angreifbar sein. Und wenn ein Angriff erfolgreich ist, sind die Folgen unvorstellbar. Das Entscheidende ist, dass die Audits von Web3 nicht unbedingt viel besser sind als die von unkonventionellen Ansätzen. Es gibt zu viele Amateurgruppen, was bedeutet, dass es nicht schwer ist, eine Amateurgruppe von einer anderen zu besiegen.
Ein großes Merkmal von Defi ist, dass es wie LEGO-Bausteine ist. Die Leute sind tatsächlich alle in einer verschachtelten Struktur verbunden. Wenn A Probleme hat, könnte auch B betroffen sein, und dann fliehen alle kollektiv und sind betroffen.
Natürlich ist die größte Peinlichkeit jetzt: Die Angriffsfähigkeit beginnt sich zu industrialisieren, während die Verteidigungssysteme noch im handwerklichen Stadium sind, was besonders gut ist, um Amateurgruppen zu eliminieren.
Welche Sicherheitsrisiken sind stark gesunken?
Strukturell betrachtet, je mehr Variationen es gibt, desto komplexer wird es, desto mehr Fallen gibt es.
Erste Kategorie, Brücke.
Zweite Kategorie, Re-Staking und verschiedene Wiederverpackungen von Vermögenswerten.
Dritte Kategorie, hochrentierliche Produkte, die auf externe Validatoren, Orakel, Kuratoren, Versicherungspools und anonyme Teams angewiesen sind.
Vierte Kategorie, Multi-Chain ist sehr groß, aber du kannst nicht herausfinden, wo jede Autorität und jeder Pausenschalter ist.
Diese Projekte, die ohnehin anfällig sind, werden noch anfälliger, wie wir gerade gesagt haben. Ihre Angriffspunkte sind einfach zu viele, die Angriffswinkel sind zu zahlreich, überall gibt es Schwachstellen.
Daher gilt: Je ursprünglicher und einfacher, desto sicherer. Zum Beispiel die offizielle Staking von ETH, die Sicherheit ist absolut unproblematisch.
Außerdem müssen wir aus Kostensicht betrachten, dass kleinere Defi-Projekte anfälliger sind.
Denn sie haben nicht unbedingt die Stärke, um mit den Hackern an einem Rüstungswettlauf teilzunehmen. Sie können sich das nicht leisten und es gibt keinen Genie, der kleinen Projekten viel Verteidigung geben kann. Es geht um die Stärke.
Die, die sich einen Rüstungswettlauf leisten können, sind große Projekte. Sie haben eine starke Basis und starke Fähigkeiten.
OK, da wir über harte Fähigkeiten sprechen, ist es wie beim Kauf von Dingen - große Marken sind am zuverlässigsten. Das nächste ist auch Web3.
Die Fähigkeit zur kontinuierlichen Sicherheitsinvestition ist vorhanden, das System ist bereits reif genug. Man kann sogar sagen, dass wenn wirklich ein Problem auftritt, es auch eine Rückzahlung geben wird. Das ist wahre Sicherheit, wahre Verteidigung.
Aufgrund dieser Punkte kann jeder eigentlich einen einzigartigen Blickwinkel einnehmen.
Das ist CEX, Binance, COINBASE, die im Gegenteil immer sicherer werden.
Warum? Weil sie die Stärke haben, um die Rückzahlung zu garantieren. Außerdem sind sie zentralisiert und haben nicht so viele Angriffsflächen auf der Kette. Kann es nicht sicher sein?
Man kann sehen, dass es letztendlich um Sicherheit geht. Wahrscheinlich ist es CEX.
Als nächstes schlage ich vor, dass jeder Hacker wird und die Gelegenheit nutzt, um diese Betrüger zu besiegen, aber sie sind eigentlich ziemlich sicher, denn sie haben nicht viel Technik, es sind alles die grundlegendsten Sachen. Das ist urkomisch.
Außerdem steht das DEFI-Projekt vor einer Welle der Differenzierung. Die Starken werden stärker, und einige Projekte, die AI-Rüstungswettläufe planen, könnten eine Welle der Spekulation auslösen.
Was die Leute sagen, dass ETH untergehen wird, schau einfach, wie die ETH-Kette in letzter Zeit $ETH  in Brand geraten ist. V hat wieder angefangen, auf den Thron zu steigen und wird gehypt.
Warte auf eine Welle irrationalen FUD und kaufe gut ein.
Insgesamt, wenn jedes Mal etwas passiert, schaue dir die Aussagen dieser großen Typen an, und du weißt, welches kognitive Niveau sie haben. Eine Gelegenheit zur Reinigung ist auch nicht schlecht.

#Kelp DAO遭攻击 