Протоколы автоматизированной доходности в DeFi создали привлекательную витрину для розницы, но эксплойт Stake DAO на Arbitrum, связанный с выпуском 5,4 трлн vsdCRV, выявил скрытые риски. По мере роста частоты взломов, вызванных ИИ, будущее DeFi зависит от прозрачности и реального времени. — cryptoslate.com
Автоматизированные протоколы доходности создали самое убедительное предложение для розничных пользователей в DeFi: все, что нужно пользователю, — это внести средства в хранилище, а протокол позаботится обо всем остальном.
Для пользователей, желающих получить доступ к повышенной доходности Curve без ручного управления блокировками CRV, правом голоса, обертками, датчиками и стимулами, Stake DAO предложил продукт, который упаковал весь стек за простым интерфейсом и, сделав это, также упаковал то, что могло сломаться.
По данным Blockaid, злоумышленник выпустил более 5,4 трлн vsdCRV в сети Arbitrum в результате предполагаемого компрометации ключа развертывания и начал обменивать токены на ETH.
Злоумышленник изменил одноранговую конфигурацию, связанную с LayerZero, чтобы подделать кроссчейн-сообщение, прежде чем выпустить 5 446 744 073 709 vsdCRV, конвертировав часть в примерно 43,78 ETH, при этом ограничение ликвидности обусловило фактическую извлеченную сумму значительно ниже номинального выпуска.
Stake DAO посоветовал пользователям не взаимодействовать с vsdCRV, пока ситуация была активна. Инцидент распространился на Curve, которая предупредила пользователей на затронутом рынке Arbitrum LlamaLend, а Beefy Finance приостановила связанное хранилище с экспозицией на Curve и Convex.
Liquid Lockers от Stake DAO позволяли пользователям вносить токены управления, такие как CRV, получать ликвидные токены sdTokens и получать доступ к повышенной доходности и управленческой экспозиции без прямого управления стеком блокировки Curve.
Интерфейс хранилища скрывает все это и, делая это, также скрывает ключи развертывания, доверие к кроссчейн-сообщениям, учет токенов-оберток и зависимости оракулов, через которые прошел эксплойт.
Автоматизированная доходность убирает сложность DeFi из виду — перемещение, которое становится заметным только тогда, когда что-то в скрытом слое ломается.
Идо Бен-Натан, соучредитель и генеральный директор Blockaid, сформулировал проблему безопасности в заметке:
«Где бы ни была ценность в блокчейне, будут злоумышленники, пытающиеся ее использовать, и это верно независимо от того, насколько простой или сложной является стратегия протокола. Здесь важны две вещи. Во-первых, есть ли у протоколов надлежащая инфраструктура управления, чтобы не было легкой точки отказа для эксплуатации. Во-вторых, наличие инструментария безопасности в реальном времени, который проверяет каждую транзакцию перед выполнением».
Более широкое осмысление
Апрель 2026 года стал худшим месяцем для эксплойтов в DeFi: было извлечено около 635 миллионов долларов в результате 28 инцидентов, вызванных социальной инженерией, спуфингом мостов и разведкой с помощью ИИ.
Мануэль Араос, который был соучредителем OpenZeppelin и занимал пост технического директора до 2019 года, написал, что теперь считает «весь» DeFi небезопасным, поскольку агенты кодирования на базе ИИ стали «сверхчеловеческими» в поиске уязвимостей, в то время как защитникам необходимо исправлять каждый баг, а злоумышленникам достаточно одного.
OpenZeppelin публично отвергла это утверждение, заявив, что посты Араоса не отражают позицию компании. Однако описанная им асимметрия привлекла серьезное внимание за пределами спора об авторстве.
Бен-Натан выделяет оборонительное преимущество в инструментарии реального времени и адаптивном обнаружении угроз:
«Хакеры все чаще используют ИИ, чтобы двигаться быстрее и находить новые векторы атак. Однако поставщики кибербезопасности в блокчейне, такие как Blockaid, имеют большой опыт использования ИИ, чтобы оставаться далеко впереди. Мы постоянно анализируем и адаптируемся к новым моделям угроз в реальном времени, используя агентов ИИ для расследований, симуляций и сопоставления вредоносных паттернов».
Эта возможность в реальном времени делает проверку транзакций жизнеспособной контрмерой против преимущества в скорости, которое получают злоумышленники, а для автоматизированных протоколов доходности элементы управления управлением и мониторинг стали фактическим уровнем безопасности, от которого зависит интерфейс хранилища.
Следующее хранилище
В пессимистичном сценарии больше компрометации ключей, инциденты с мостами, заражение оракулов и паузы в работе хранилищ приводят к дисконту абстракции для продуктов автоматизированной доходности.
Пользователи требуют более высокой доходности для компенсации скрытого риска стека, что затрудняет поддержание лозунга «доходность в один клик» без явного раскрытия рисков, а небольшие хранилища теряют TVL, поскольку интеграции становятся ограниченными по риску.
Модель инцидентов, определившая апрель, сохраняется до конца года, и каждый новый инцидент укрепляет представление о том, что автоматизация доходности объединяет риски, которые пользователи не могут оценить самостоятельно.
В оптимистичном сценарии протоколы принимают архитектуру, описанную Бен-Натаном, состоящую из элементов управления управлением, которые устраняют легкие точки отказа, проверки транзакций в реальном времени и непрерывный мониторинг моделей угроз, и автоматизированная доходность выживает в более стандартизированной форме.
Формальная верификация, мультиподписные элементы управления и мониторинг во время выполнения становятся стандартной инфраструктурой, а продукты, сохраняющие доверие розничных пользователей, — это те, которые раскрывают и управляют стеком зависимостей.
Поставщики решений по безопасности и панели мониторинга рисков встраиваются непосредственно в интерфейс хранилища, а конкурентное преимущество смещается от сокрытия сложности к доказательству того, какие части этой сложности находятся под контролем.
Розничное обещание автоматизированной доходности всегда заключалось в перемещении сложности, и в течение многих лет протокол поглощал это бремя незаметно. Эксплойт Stake DAO показывает, что происходит, когда невидимый слой ломается, а рекорд апреля показывает, что это происходит все чаще.
Следующий продукт автоматизированной доходности, который завоюет доверие розничных пользователей, добьется этого, показав им, какие части стека контролируются, управляются и изолируются, и что делает протокол, когда какая-либо из частей выходит из строя.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gino Matos