Écrit par : Beosin
La finance décentralisée (DeFi) a créé un nouvel écosystème financier prospère et ouvert grâce aux contrats intelligents depuis le dernier DeFi Summer. Cependant, avec le développement de DeFi, de nombreux protocoles DeFi deviennent de plus en plus complexes, et le seuil de connaissance nécessaire pour comprendre les protocoles associés devient de plus en plus élevé, ce qui rend difficile pour de nombreux utilisateurs ordinaires de comprendre clairement les risques des protocoles et d’interagir en toute sécurité avec les protocoles DeFi.
À partir de fin 2024, l’Agent AI est devenu un point chaud de l’écosystème en chaîne. La combinaison de DeFi et d’IA (DeFai) tente d’innover dans ce domaine : les utilisateurs ordinaires peuvent simplifier les processus d’interaction de DeFi par le biais de l’IA et optimiser leurs décisions de trading, transformant ainsi DeFi en un écosystème financier plus convivial, intelligent et efficace. Dans cet article, Beosin vous guidera sur le fonctionnement de DeFai et les défis sécuritaires auxquels il est confronté, offrant ainsi aux utilisateurs une meilleure compréhension des risques.
Architecture technique DeFai
Dans la blockchain, l’agent AI peut servir d’interface intermédiaire entre l’utilisateur et les protocoles DeFi, remplaçant l’interaction de l’utilisateur avec les contrats intelligents, traitant les appels de contrats complexes sans nécessiter d’opérations manuelles continues de l’utilisateur. En étudiant les projets DeFai sur le marché, nous divisons l’architecture de ces projets en les composants clés suivants :
- Gestion du compte
1.1 Compte intelligent (ERC-4337)
Les comptes EOA traditionnels ne séparent pas la garde des actifs de la signature des transactions - le même compte détenteur des fonds doit signer chaque transaction. En revanche, les comptes intelligents conformes à l’ERC-4337 séparent la garde des actifs de l’autorisation des transactions grâce à une logique de vérification programmable, permettant ainsi de déléguer en toute sécurité l’exécution des transactions à l’agent IA tout en maintenant le compte non garanti.
Lorsque les utilisateurs interagissent avec ce type de système DeFai, un compte intelligent associé au compte EOA de l’utilisateur est créé. Ce compte intelligent est entièrement détenu et contrôlé par l’utilisateur et exécute des transactions complexes au nom de l’utilisateur.
1.2 Seuil de signature multiple (MPC-TSS)
Pour les applications DeFai non entièrement autonomes, MPC-TSS peut diviser les clés entre l’agent AI, l’utilisateur et un tiers de confiance, tout en permettant à l’utilisateur de maintenir un certain niveau de contrôle sur l’agent AI.
1.3 Environnement d’exécution de confiance (TEE)
Pour les systèmes d’IA entièrement autonomes, TEE fournit une solution sécurisée en stockant la clé privée dans un environnement crypté sécurisé, permettant à l’agent IA d’exécuter des transactions au nom de l’utilisateur dans un environnement de confiance et protégé, sans interférence de tiers.
Les trois solutions ci-dessus ont leurs avantages et leurs inconvénients. Les comptes intelligents et la solution MPC sont sécurisés et contrôlables, mais les opérations sont limitées par des règles et des autorisations prédéfinies. La solution TEE offre une plus grande liberté, mais nécessite que le projet résolve des problèmes au niveau matériel.
- Module d’exécution des décisions
Ce module sert d’interface entre l’agent IA et l’écosystème DeFi, en interagissant avec des protocoles externes via une couche d’abstraction standardisée, transformant les données du marché et les instructions des utilisateurs en transactions blockchain exploitables.
Ce processus implique plusieurs étapes :
La première étape est l’agrégation des données, où l’agent AI doit traiter en continu les informations provenant des données on-chain, des protocoles DeFi et du marché. Ces données doivent être traitées et transmises à ce module dans un format standard.
Lire les données du contrat
La deuxième étape est l’évaluation des décisions, le système peut identifier les opportunités conformes aux objectifs des utilisateurs en combinant les données de la première étape avec des algorithmes financiers traditionnels et de l’IA, tels que le système de prédiction APR et le système de trading de jetons Meme basé sur des événements. Cela aide l’agent IA à optimiser le timing de possession et le choix des actifs à échanger.
Dans la troisième phase, l’agent AI convertira les décisions précédentes et les instructions de l’utilisateur en opérations concrètes sur la chaîne, ces opérations ayant des paramètres de transaction spécifiques (adresse du contrat, quantité de jetons, etc.) comme illustré ci-dessous :
Créer un pool de liquidité Uniswap V3
- Module de gestion des risques
Pour le protocole DeFai, les développeurs doivent mettre en place une protection multi-niveaux pour assurer la sécurité des fonds des utilisateurs et réduire les risques liés à la génération de revenus DeFi. Ce module de risque doit fonctionner 7/24, en prenant en compte la sécurité des contrats intelligents, les risques de gouvernance, les risques de liquidité, l’impact sur les prix, la volatilité et la fiabilité historique des différents protocoles DeFi.
Pour les utilisateurs, DeFai leur permet d’interagir efficacement avec l’écosystème DeFi multi-chaînes sans avoir à étudier les détails spécifiques de chaque chaîne, protocole et écosystème.
risque de sécurité
La construction de DeFai est basée sur les protocoles DeFi existants, donc en plus des risques systémiques inhérents au protocole DeFai lui-même (gestion des comptes, gestion des risques), les utilisateurs doivent également être attentifs aux risques de sécurité potentiels lorsqu’ils gèrent des actifs cryptographiques avec DeFai.
- Risque du marché
Glissement de transaction/Attaque MEV
Lorsque l’agent AI effectue des échanges de jetons ou fournit des liquidités pour l’AMM dans un pool de liquidité, il peut y avoir un glissement important dans les échanges de jetons ou la création de LP en raison de problèmes de liquidité du pool existant, ou être attaqué par des robots MEV, entraînant des pertes commerciales. Voici un exemple de cas où un utilisateur a perdu environ 210 000 USD lors de l’échange de USDC contre USDT à cause d’une attaque MEV :
Risque de liquidité
Pendant des périodes de volatilité du marché, la liquidité des protocoles DeFi (en particulier les protocoles de prêt) peut être limitée, ce qui peut affecter les opérations de dépôt ou de retrait des utilisateurs.
- Risque de protocole
Risques des contrats intelligents
Chaque protocole DeFi avec lequel l’agent AI interagit fonctionne sur la base de contrats intelligents, qui peuvent contenir des failles de sécurité non découvertes. Les protocoles DeFi doivent subir un audit de sécurité complet pour renforcer au maximum leur sécurité.
Beosin a effectué des audits de sécurité pour plusieurs projets AI Agent et DeFai, tels que Cult World, Tars AI. Les audits couvrent plusieurs aspects tels que la sécurité du code du contrat intelligent, la correction de la logique de réalisation commerciale, l’optimisation du gas du code du contrat, la découverte et la correction de failles potentielles, pour promouvoir le développement sécurisé de l’écosystème AI+Web 3.
Risque de conception du protocole
Le fonctionnement et le modèle économique du protocole DeFi peuvent entraîner des créances douteuses ou d’autres résultats inattendus dans des conditions de marché extrêmes, ce qui peut entraîner des pertes d’actifs pour les utilisateurs.
récemment, l’événement de liquidation de HyperLiquid a entraîné une perte d’environ 4 millions de dollars pour le trésor de protocole et ses fournisseurs, en raison du défaut du projet de ne pas avoir bien pris en compte la marge de maintien et le levier maximal des grandes positions. Les arbitragistes / attaquants ont profité de l’effet de levier élevé pour traverser les positions, et les pertes de traversée ont été supportées par le trésor du protocole.
Risque d’oracle / Manipulation des prix
Les protocoles DeFi peuvent dépendre des oracles manipulés ou confrontés à des problèmes techniques, ce qui entraîne des informations de prix erronées, comme dans le cas de Polter Finance, qui a subi une perte de plus de 7 millions de dollars. Ce projet DeFi repose sur la réserve de tokens de la paire UniswapV2, qui est facilement manipulable, pour le calcul des prix. Les pirates ont utilisé un flash loan pour faire monter en flèche le prix des tokens du projet, empruntant des actifs dépassant de loin la valeur de leur garantie.
Résumé
Avec le développement continu de DeFai, la finance décentralisée entrera dans une nouvelle phase plus conviviale, intelligente et efficace pour les utilisateurs. L’intégration profonde de l’IA dans le domaine de la DeFi simplifiera considérablement les processus d’interaction des utilisateurs, optimisera la gestion des risques et permettra une expérience d’interaction transparente sur la chaîne. À ce stade, que vous soyez un joueur expérimenté de la DeFi ou un novice, vous pourrez facilement accéder aux informations sur la chaîne, gérer vos actifs et exécuter en toute sécurité diverses opérations sur la chaîne grâce aux outils DeFai.
En même temps, les risques de sécurité du système DeFai ne doivent pas être négligés : la gestion des clés privées des comptes, le contrôle des risques d’exécution des transactions, ainsi que les risques de tiers associés à divers protocoles DeFi, ont tous des répercussions sur la sécurité des actifs des utilisateurs. Les utilisateurs devraient choisir des projets DeFai qui ont été soumis à des audits rigoureux et testés sur le marché, afin de minimiser les risques financiers.
