«Защитники проигрывают каждый раз»: основатель OpenZeppelin о смертельной ошибке ИИ и DeFi

Соучредитель OpenZeppelin Мануэль Араоз заявил, что вся DeFi теперь небезопасна, предупреждая, что агенты по программированию на AI дают злоумышленникам преимущество, которое защитники никогда полностью не смогут закрыть.

Человек, который помог написать правила безопасности в DeFi, теперь считает, что игра сломана.

Мануэль Араоз, соучредитель OpenZeppelin, опубликовал на X в этом году публичное заявление, которое встревожило уголки криптопространства. По его словам, агенты по программированию стали сверхчеловеками в поиске уязвимостей. Безопасность смарт-контрактов слишком асимметрична: защитники должны исправлять каждую ошибку, а злоумышленники — находить хотя бы одну.

Blue Chips не безопасны, он сказал людям, которые ему ближе всего

Он не остановился на предупреждении. Араоз заявил в X, что он лично советует друзьям и семье выйти из всех позиций в DeFi, включая протоколы, широко считающиеся низкорискованными. Были названы Aave, MakerDAO и Compound. Не как злодеи. Просто как протоколы, которые не могут выиграть в этой борьбе.

Волна взломов в DeFi не замедлилась в 2026 году. Провайдер ликвидности 1inch потерял почти 6,7 миллиона долларов из-за атаки с помощью resolver-контракта всего несколько недель назад. Исследователи связали это с инцидентом 2025 года. Тот же злоумышленник, другая уязвимость.

Ответил один из участников, что смарт-контракты неизменяемы и их нельзя отключить, написал он в X. Они находятся в блокчейне, видимы каждому. Ловушка для блох, в самом буквальном смысле.

Сообщество выступило против, но не по основной математике

Участник Aave, Марк Зеллер, назвал это заявление «глупым» в X, утверждая, что менее десяти процентов инцидентов в DeFi за прошлый год произошли из-за ошибок в кодовой базе. Большинство потерь, по его словам, связаны с неправильной настройкой параметров, взрывом залога и плохой операционной безопасностью.

Сам МакФерсон, известный в X как hexonaut, высказался аналогично. Недавние крупные взломы, он написал, были в основном связаны с вопросами операционной безопасности, а не с ошибками смарт-контрактов. Код голубых чипов в наши дни довольно безопасен. Этот аргумент прямо не оспаривал точку зрения об асимметрии.

Bee Swarm в X заявил, что рамки пропустили настоящую проблему. Существуют протоколы, проверенные временем, с годами общего заблокированного значения и нулевыми уязвимостями. Опасными, по словам аккаунта, всегда являются новые, неаудированные контракты с поощрением за фермерство.

AI как красная команда: другая сторона аргумента

Диего Сьерра, пишущий в X, согласился с риском, но отметил обратную сторону. Те же агенты, которые находят уязвимости до развертывания, могут также использоваться для стресс-тестирования контрактов. Большая проблема для команд разработчиков, он написал. Не смертельный приговор.

Это напряжение не ново. Ошибка в коде, сгенерированная AI, связанная с взломом смарт-контракта, обошлась одному протоколу в 1,78 миллиона долларов в начале этого года. Этот инцидент обострил дебаты о том, сколько автономии должны иметь агенты по программированию в производственных средах.

Rekt Academy, платформа обучения разработчиков, согласилась с рамками Араоза о асимметрии в X. Они заявили, что создают инструменты в ответ. Кибербезопасность станет важнее, чем когда-либо, написали они, и ставки в TVL высоки. Ab в X предложил совершенно другой взгляд: возможность максимально протестировать систему перед развертыванием может дать разработчикам больше рычагов, а не меньше.

Токенизированные активы — следующий шаг, сказал один участник

Юлия Суонтаама, пишущая в X, сказала, что формулировка «мы считаем, что DeFi еще не готова» ускорилась в разговорах с организациями Уолл-стрит в начале 2026 года. Она считает, что институтам не следует торопить их на публичные цепочки. Пусть они строят на специально созданных решениях.

Один аккаунт, iagadanight в X, расширил опасения. Если DeFi небезопасна, стоит обратить внимание на токенизированные активы, размещенные на тех же цепочках, говорится в посте. «Следующие — токенизированные активы». Больше объяснений не дано. Оставили так.

Араоз не ответил публично на критику по поводу различия между голубыми чипами. Аккаунт militereum в X ясно выразился: смарт-контракты не зашифрованы, они постоянны, а природа кода в цепочке — хранить сейчас, эксплуатировать позже — дает агентам по программированию структурное преимущество, которое не исчезнет.