חלוץ אבטחת קריפטו: "עכשיו אני מחשיב את כל ה-DeFi לא בטוח"

פרויקטי קריפטו במגזר הפיננסים המבוזר (DeFi) התמודדו עם גל של תקריות אבטחה לאחרונה, וכעת, אחת הדמויות המוקדמות ביותר בביקורת חוזים חכמים הכריזה על כל שטח DeFi כבלתי בטוח. נקודת המבט הזו הייתה שותף ב-X מאת מנואל אראוז, מייסד שותף של OpenZeppelin. הוא הרחיק לכת ויעץ באופן פרטי לחברים ובני משפחה לעזוב את כל עמדות ה-DeFi, כולל מה שרבים רואים כ"שבבים כחולים" בסיכון נמוך כגון Aave, MakerDAO ו-Compound.

Aráoz הצביע על התקדמות בבינה מלאכותית כסיבה המרכזית לשינוי זה באמינות ובאמינות של אפליקציות DeFi. "סוכני קידוד הם על-אנושיים באיתור נקודות תורפה, ואבטחת חוזים חכמה היא אסימטרית מדי: מגינים צריכים לתקן כל באג בעוד שתוקפים צריכים רק ניצול אחד כדי לגנוב כספים", הסביר.

בסוף השנה שעברה, Anthropic פרסמה נתונים המראים שסוכני בינה מלאכותית הפכו למסוגלים הרבה יותר לזהות ולנצל באגים בחוזים חכמים קריפטו. בשלב זה, ההתקדמות כללה בעיקר בעיות שבני אדם כבר זיהו. דברים השתנו מוקדם יותר השנה עם שחרורו של דגם Mythos של Anthropic. המערכת כל כך חזקה שאנתרופיק שומרת עליה תחת הגבלות קשות ומאפשרת אותה זמינה רק לקבוצה מוגבלת של שותפים. לפי Anthropic, היא חשפה באגים קריטיים בתוכנה שרצה בסביבות ייצור במשך עשרות שנים מבלי שאף אחד שם לב לפגמים. בשל השלכות האבטחה על מרחב הקריפטו, בורסות, כגון Coinbase, דווחו כי הגיעו לאנתרופיק כדי לקבל גישה ל-Mythos.

לטענתו של אראוז, פריצה גדולה של DeFi בשנה שעברה העבירה צמרמורת ברחבי מגזר DeFi מכיוון שהיא פגעה בפגיעות בחוזה חכם שפעל בטבע במשך שנים, שרד ביקורות מרובות ונשא מוניטין של היותו מוצק. הניצול של 120 מיליון דולר עצמו יצא לפועל באופן שהדהד את תוכנית ההרחקה של אגורות מהסרט Office Space.

לאחרונה, אפריל בלט כחודש הגרוע ביותר שנרשם עבור הכמות העצומה של פריצות קריפטו, עם תקריות שהתרחשו בקצב של כמעט אחת ליום. צפון קוריאה נקשרה לרוב המכריע של הכספים שנגנבו במהלך התקפות אלו השנה, אם כי המשטר פרסם הכחשה נדירה של מעורבות בחודש שעבר.

רק בסוף השבוע האחרון, תקרית נוספת התרחשה כאשר מנפיקת stablecoin StablR ראתה שהמערכת שלה נפגעת. ההגדרה הסתמכה על ארנק 1 מתוך 3 ריבוי חתימות להטבעה, כלומר מפתח בודד יכול לאשר פעולות, ותוקף השיג שליטה על מפתח אחד, הוסיף את עצמו כמנהל, הסיר את המפעילים החוקיים והטביע כ-13.5 מיליון דולר במטבעות יציבים ללא גיבוי. הם החליפו את האסימונים בבורסות מבוזרות והסתלקו עם כ-1,115 אתר, בשווי של קרוב ל-3 מיליון דולר באותה עת.

כפי שממחיש תקרית StablR, המציאות היא שרחוק מכל הפריצות מוצאות את עקבותיה של באגים בחוזה חכם. הנדסה חברתית וקטורי התקפה ריכוזיים ממלאים לרוב את התפקיד המכריע, גם בפרויקטים שמשווקים את עצמם כמבוזרים. הרשאות מנהל, כשלים בניהול מפתחות ואבטחה תפעולית לקויה פותחים את הדלת לעתים קרובות יותר מכל פגם בקוד.

למרות הנקודות הריכוזיות הללו שהתבררו כחוליות חלשות חוזרות ונשנות, חלק בתעשיית הקריפטו מסכימים עם Aráoz שצורה של DeFi מגודרת עשויה להיות הדרך הריאלית היחידה קדימה לעת עתה. אוטאם סינג, מהנדס קשרי מפתחים בכיר בספקית תשתיות הבלוקצ'יין Alchemy, נקרא מפסקי זרם, נעילות זמן לשינויים, מועצות ביטחון עם סמכויות עצירת חירום ומגבלות תעריפים על רישומי נכסים חדשים. הוא טען שהמרחב פשוט עדיין לא בוגר מספיק כדי לרוץ בלי אמצעי ההגנה האלה לעת עתה.

אחרים נרתעו בחדות. מייסד יוזמת Aave Chan, Marc Zeller נִקרָא עמדתו של Araoz "דבר מטומטם לומר", וציין שפחות מ-10% מהבעיות של DeFi בשנה האחרונה נבעו מבסיס הקוד בפועל. כמה מבקרים הלכו רחוק יותר ותייגו את הערותיו של ארוז כלא יותר מפחד שיווק לטובת OpenZeppelin. Araoz הבהיר כי מעולם לא הגביל את הבעיה לקוד חוזה חכם בלבד אלא לאבטחה רחבה יותר, הכוללת פרמטרים, עיצוב מנגנון ו-opsec. "סוכני קידוד הם על-אנושיים גם במציאת הפגיעות האלה, והנקודה שלי מתקיימת", כתב.

יש לציין כי OpenZeppelin פנה ל-X כדי להבהיר כי הערותיו של אראוז אינן תואמות את עמדתה הרשמית של החברה בעניין זה, שכן אראוז עזב את החברה ב-2019. מייסד Uniswap היידן אדמס ו מייסד Aave סטאני קולכוב גם ציין כי אותם כלי AI המשמשים תוקפים יכולים לשמש גם להגנה, מה שאמור, למרבה האירוניה, להפוך את המערכות הללו לגמישות ובטוחות עוד יותר לאורך זמן. "DeFi מתפתח כל הזמן, אבל להעמיד פנים שהתעשייה לא הבשילה משמעותית או ש-AI הוא רק שלילי נטו לאבטחת DeFi זה פשוט לא נכון", פרסם קולכוב ב-X. "אותן יכולות AI שבהן משתמשים תוקפים משמשות יותר ויותר חוקרי אבטחה, מבקרים וכובעים לחיזוק פרוטוקולים. DeFi Will Win"

שלמות סיבוב היא כלבה

— Alex B 👾 (@bergealex4) 27 במאי 2026

הביטקוין עצמו נחשב בטוח יותר מאותו סוג של התקפות מונעות בינה מלאכותית. Ethereum ופלטפורמות דומות מסתמכות על שפות חוזים חכמים של טיורינג כמו Solidity, והעיצוב הזה מאפשר היגיון מורכב ביותר, מצבי עם אינספור אינטראקציות אפשריות, מה שמרחיב את משטח ההתקפה באופן דרמטי. שפת הסקריפט של ביטקוין, לעומת זאת, אינה מלאה בטיורינג בכוונה ונועדה לשמור על המערכת פשוטה וצפוי יותר.

עם זאת, הבלוק של ג'ק דורסי כבר עשה זאת השיקה יוזמה בשם Project Loupe שמשתמש בסוכני בינה מלאכותית כדי לסרוק באופן יזום תוכנות הקשורות לביטקוין בקוד פתוח לאיתור נקודות תורפה, כמו מה שאדאמס וקולכוב הזכירו כטיעון נגד לטענותיו של אראוז. הפרויקט מייצר דוחות מפורטים עם מקרי בדיקה הוכחת קונספט ומציע סריקה בחינם כשירות כדי לעזור לתחזוקה להקדים. המטרה היא להפוך את האסימטריה על ידי מתן למגנים את אותם הכלים החזקים שתוקפים כבר משתמשים בהם.