Escrito por: Beosin
La financiación descentralizada (DeFi) ha creado un próspero y abierto ecosistema financiero nuevo a través de contratos inteligentes desde el último DeFi Summer. Sin embargo, con el desarrollo de DeFi, muchos protocolos DeFi se han vuelto cada vez más complejos, y el umbral de conocimiento necesario para comprender los protocolos relacionados también ha aumentado, lo que hace que muchos usuarios comunes tengan dificultades para comprender claramente los riesgos del protocolo e interactuar de manera segura con los protocolos DeFi.
A partir de finales de 2024, AI Agent se ha convertido en un tema candente en el ecosistema en cadena, la combinación de DeFi y AI (DeFai) está tratando de innovar en la pista de DeFi: los usuarios regulares pueden simplificar el proceso de interacción de DeFi a través de AI y optimizar sus decisiones comerciales, transformando DeFi en un ecosistema financiero más amigable, inteligente y eficiente. En este artículo, Beosin presentará a los usuarios cómo funciona DeFai y los desafíos de seguridad que enfrenta, proporcionando a los usuarios una comprensión más clara de los riesgos.
Estructura técnica DeFai
En blockchain, el Agente de IA puede actuar como interfaz intermedia entre el usuario y los protocolos DeFi, reemplazando la interacción del usuario con contratos inteligentes, manejando llamadas de contrato complejas sin que el usuario tenga que operar manualmente continuamente. Al estudiar proyectos DeFai en el mercado, dividimos la arquitectura de tales proyectos en los siguientes componentes clave:
- Gestión de la cuenta
1.1 Cuenta inteligente (ERC-4337)
La cuenta de EOA tradicional no separa la custodia de activos de la firma de transacciones: la misma cuenta que tiene los fondos debe firmar cada transacción. Mientras tanto, la cuenta inteligente que sigue ERC-4337 separa la custodia de activos de la autorización de transacciones a través de lógica verificable programable, lo que permite delegar de manera segura la ejecución de transacciones al Agente de IA, manteniendo al mismo tiempo la cuenta como no custodiada.
Cuando los usuarios interactúan con sistemas DeFai de este tipo, se crea una cuenta inteligente asociada a la cuenta EOA del usuario. Esta cuenta inteligente es totalmente propiedad y controlada por el usuario, y realiza transacciones complejas en nombre del usuario.
1.2 Umbral de firma múltiple (MPC-TSS)
Para aplicaciones DeFai no completamente autónomas, MPC-TSS puede dividir las claves entre el Agente de IA, el usuario y un tercero de confianza, mientras el usuario mantiene cierto nivel de control sobre el Agente de IA.
1.3 Entorno de Ejecución Confiable (TEE)
Para sistemas de AI completamente autónomos, TEE proporciona una solución segura al almacenar claves privadas en un entorno de cifrado seguro, lo que permite que el agente de AI realice transacciones en nombre del usuario en un entorno confiable y protegido sin interferencia de terceros.
Las tres soluciones anteriores tienen sus propias ventajas y desventajas, la cuenta inteligente y la solución MPC son seguras y controlables, pero las operaciones están restringidas por reglas y permisos predefinidos, la solución TEE tiene mayor libertad, pero el proyecto necesita abordar problemas a nivel de hardware.
- Módulo de ejecución de decisiones
Este módulo actúa como interfaz entre AI Agent y el ecosistema DeFi, interactuando con protocolos externos a través de una capa de abstracción estandarizada, convirtiendo datos de mercado y órdenes de usuario en transacciones de blockchain operativas.
Este proceso implica varias etapas:
La primera etapa es la agregación de datos, donde el Agente de IA necesita procesar continuamente información de la cadena, protocolos DeFi y el mercado. Estos datos deben ser procesados y transmitidos a este módulo en un formato estandarizado.
Leer datos del contrato inteligente
La segunda etapa es la evaluación de decisiones, donde el sistema puede utilizar datos de la primera etapa combinados con algoritmos financieros tradicionales y de inteligencia artificial para identificar oportunidades que cumplan con los objetivos del usuario, como el sistema de predicción de APR y el sistema de comercio de tokens Meme impulsado por eventos. Esto ayuda al Agente de IA a optimizar el momento de retención y la selección de activos comerciales.
En la tercera etapa, el agente de inteligencia artificial (IA) transformará las decisiones anteriores y las instrucciones del usuario en operaciones específicas en la cadena, estas operaciones ya tienen parámetros de transacción específicos (dirección del contrato, cantidad de tokens, etc.), como se muestra en la siguiente imagen:
Crear piscinas de liquidez Uniswap V3
- Módulo de gestión de riesgos
Para el protocolo DeFai, los desarrolladores deben implementar múltiples capas de protección para garantizar la seguridad de los fondos de los usuarios y reducir los riesgos en el proceso de obtener ingresos DeFi. Este módulo de riesgo debe funcionar las 24 horas del día, los 7 días de la semana, y tener en cuenta factores como la seguridad de los contratos inteligentes de diferentes protocolos DeFi, los riesgos de gobernanza, los riesgos de liquidez, el impacto en los precios, la volatilidad y la confiabilidad histórica.
Para los usuarios, DeFai permite interactuar eficientemente con el ecosistema DeFi de múltiples cadenas sin la necesidad de investigar en detalle cada cadena, protocolo y ecosistema.
Riesgo de seguridad
La construcción de DeFai se basa en protocolos DeFi existentes, por lo que además de los riesgos sistémicos propios del protocolo DeFai (gestión de cuentas, gestión de riesgos), los usuarios también deben tener en cuenta los posibles riesgos de seguridad al administrar activos criptográficos a través de DeFai.
- Riesgo de mercado
Deslizamiento de transacción/Ataque MEV
Cuando el Agente de IA realiza intercambios de tokens o crea liquidez en un pool AMM, los intercambios de tokens o la creación de LP pueden experimentar un gran deslizamiento debido a problemas de liquidez en el pool existente, o pueden ser atacados por robots MEV, lo que resulta en pérdidas comerciales. A continuación, se muestra un caso en el que un usuario perdió aproximadamente 210,000 dólares estadounidenses al ser atacado por MEV al cambiar USDC por USDT.
Riesgo de liquidez
Durante períodos de alta volatilidad del mercado, la liquidez de los protocolos DeFi (especialmente los de préstamos) puede estar limitada, lo que podría afectar las operaciones de depósito o retiro de los usuarios.
- Riesgo de protocolo
Riesgo de contrato inteligente
Cada protocolo DeFi con el que interactúa el Agente de IA se basa en contratos inteligentes, que pueden contener vulnerabilidades no descubiertas. Los protocolos DeFi deben someterse a una exhaustiva auditoría de seguridad para mejorar su seguridad en la medida de lo posible.
Beosin ha completado múltiples auditorías de seguridad de AI Agent y proyectos DeFai, como Cult World, Tars AI. El contenido de la auditoría cubre la seguridad del código del contrato inteligente, la corrección lógica de implementación de negocios, la optimización del gas del código del contrato, la identificación y corrección de posibles vulnerabilidades, entre otros aspectos, impulsando el desarrollo seguro del ecosistema AI+Web 3.
Riesgo de diseño del protocolo
El mecanismo operativo y el modelo económico del protocolo DeFi pueden resultar en incumplimientos o resultados inesperados en condiciones extremas del mercado, lo que podría causar daños a los activos de los usuarios.
El reciente incidente de liquidación de HyperLiquid ha causado pérdidas de alrededor de 4 millones de dólares para el tesoro del protocolo y sus proveedores, debido a que el proyecto no consideró adecuadamente el mantenimiento de margen y el apalancamiento máximo para grandes posiciones. Los arbitrajistas/atacantes aprovecharon el apalancamiento alto para forzar la liquidación, con las pérdidas de liquidación asumidas por el tesoro del protocolo.
Riesgo de oráculo/manipulación de precios
Los protocolos DeFi pueden depender de oráculos manipulables o enfrentar problemas técnicos en la alimentación de precios, lo que resulta en información de precios incorrecta, como en el caso del incidente de Polter Finance que resultó en una pérdida de más de 7 millones de dólares. Este proyecto DeFi dependía de las reservas de tokens de un par UniswapV2 manipulable para realizar cálculos de precios, y el hacker infló el precio de los tokens del proyecto mediante un flash loan, prestando activos que superaban ampliamente el valor de su garantía.
Resumen
Con el continuo desarrollo de DeFai, las finanzas descentralizadas entrarán en una nueva etapa más amigable, inteligente y eficiente para los usuarios. La profunda integración de la IA en el campo de DeFi simplificará en gran medida el proceso de interacción del usuario, optimizará la gestión de riesgos y logrará una experiencia de interacción en la cadena sin problemas. En esta etapa, tanto los jugadores experimentados de DeFi como los novatos podrán utilizar las herramientas DeFai para obtener fácilmente información en la cadena, administrar activos y realizar diversas operaciones en la cadena de forma segura.
Al mismo tiempo, no se puede ignorar el riesgo de seguridad del sistema DeFai: la gestión de claves privadas de la cuenta, el control de riesgos de ejecución de transacciones y varios riesgos de terceros de los protocolos DeFi están afectando la seguridad de los activos de los usuarios. Los usuarios deben elegir proyectos DeFai que hayan pasado por una auditoría estricta y un examen del mercado para minimizar el riesgo financiero.
