AI + DeFi: Análise da arquitetura tecnológica e desafios de segurança do DeFai

Artigo: Beosin

A finança descentralizada (DeFi) criou um novo ecossistema financeiro próspero e aberto, através de contratos inteligentes, desde o último DeFi Summer. No entanto, com o desenvolvimento do DeFi, muitos protocolos DeFi tornaram-se cada vez mais complexos, aumentando o nível de conhecimento necessário para compreender esses protocolos, o que dificulta que muitos usuários comuns compreendam claramente os riscos dos protocolos e interajam com segurança com os protocolos DeFi.

A partir do final de 2024, o AI Agent tornou-se um ponto quente no ecossistema online, a combinação de DeFi e AI (DeFai) está tentando inovar no campo DeFi: os usuários comuns podem simplificar o processo de interação DeFi com AI e otimizar suas decisões de negociação, transformando DeFi em um ecossistema financeiro mais amigável, inteligente e eficiente. Neste artigo, a Beosin irá mostrar como o DeFai opera e os desafios de segurança que enfrenta, proporcionando aos usuários uma compreensão mais clara dos riscos.

Arquitetura DeFai

Na blockchain, o AI Agent pode atuar como uma interface intermediária entre o usuário e os protocolos DeFi, substituindo a interação do usuário com contratos inteligentes, lidando com chamadas de contratos complexas sem a necessidade de intervenção manual contínua do usuário. Ao estudar os projetos DeFai no mercado, dividimos a arquitetura desses projetos em componentes-chave a seguir:

1. Gestão de Conta

1.1 Conta Inteligente (ERC-4337)

As contas EOA tradicionais não separam a custódia de ativos da assinatura de transações - a mesma conta com fundos deve assinar cada transação. Por outro lado, as contas inteligentes que seguem o ERC-4337 separam a custódia de ativos da autorização de transações por lógica verificável programável, permitindo assim a execução segura de transações pelo Agente de IA, mantendo a conta não custodial.

Quando os usuários interagem com sistemas DeFai como esse, o sistema criará uma conta inteligente associada à conta EOA do próprio usuário. Essa conta inteligente é de total propriedade e controle do usuário, realizando transações complexas em nome do usuário.

Limite multi-assinatura 1.2 (MPC-TSS)

Para aplicações DeFai não totalmente autônomas, o MPC-TSS pode dividir chaves entre o agente de IA, o usuário e uma terceira parte confiável, permitindo que o usuário mantenha algum controle sobre o agente de IA.

1.3 Ambiente de Execução Confiável (TEE)

Para sistemas de IA totalmente autônomos, TEE fornece uma solução segura, armazenando chaves privadas em um ambiente criptografado seguro, permitindo que o Agente de IA execute transações em nome do usuário em um ambiente confiável e protegido, sem interferência de terceiros.

As três soluções acima têm vantagens e desvantagens diferentes, as contas inteligentes e o MPC são seguros e controláveis, mas as operações são limitadas pelas regras e permissões predefinidas, o TEE tem maior liberdade, mas requer que o projeto resolva problemas de hardware.

2. Módulo de Execução de Decisões

Este módulo atua como interface entre o AI Agent e o ecossistema DeFi, interagindo com protocolos externos por meio de uma camada de abstração padronizada, transformando dados de mercado e instruções do usuário em transações de blockchain operacionais.

Este processo envolve várias fases:

A primeira fase é a agregação de dados, na qual o Agente de IA precisa lidar constantemente com informações da cadeia, protocolos DeFi e mercado. Esses dados precisam ser processados e inseridos neste módulo em um formato padronizado.

Ler dados do contrato inteligente

A segunda fase é a avaliação e decisão, em que o sistema pode, com base nos dados da primeira fase, combinar algoritmos financeiros tradicionais e IA para identificar oportunidades que atendam aos objetivos do usuário, como o sistema de previsão APR, e o sistema de negociação de tokens Meme orientado por eventos. Isso ajuda o Agente de IA a otimizar o timing da manutenção de posição e a escolha dos alvos de negociação.

Na terceira fase, o AI Agent transformará decisões anteriores e instruções do usuário em operações específicas na cadeia, com parâmetros de transação específicos (endereço do contrato, quantidade de tokens, etc.), conforme mostrado na figura abaixo:

Criar piscina de liquidez Uniswap V3

3. Módulo de Gestão de Risco

Para o protocolo DeFai, os desenvolvedores devem implementar várias camadas de proteção para garantir a segurança dos fundos dos usuários e reduzir os riscos durante o processo de obtenção de receitas DeFi. Este módulo de risco deve funcionar continuamente 7/24, considerando a segurança dos contratos inteligentes, riscos de governança, riscos de liquidez, impacto de preços, volatilidade e confiabilidade histórica de diferentes protocolos DeFi.

Para os utilizadores, o DeFai permite interagir de forma eficiente com a multi-cadeia DeFi sem a necessidade de investigar os detalhes específicos de cada cadeia, protocolo e ecossistema.

risco de segurança

A construção da DeFai é baseada nos protocolos DeFi existentes, portanto, além dos riscos sistêmicos do próprio protocolo DeFai (gestão de contas, gestão de riscos), os usuários também precisam estar cientes dos possíveis riscos de segurança ao usar a DeFai para gerenciar ativos criptográficos.

1. Risco de mercado

Deslizamento de negociação/Ataque MEV

Quando o AI Agent faz trocas de tokens ou cria liquidez em piscinas AMM, as trocas de tokens ou a criação de LP podem sofrer grandes derrapagens devido a problemas de liquidez na piscina existente, ou podem ser atacadas por robôs MEV, resultando em perdas comerciais. Abaixo está um caso em que um usuário perdeu cerca de 210.000 dólares ao trocar USDC por USDT devido a um ataque MEV.

Risco de liquidez

Durante períodos de grande volatilidade de mercado, a liquidez dos protocolos DeFi (especialmente os de empréstimo) pode ser limitada, o que pode afetar as operações de depósito e saque dos usuários.

2. Risco de Acordo

Riscos de contratos inteligentes

Cada protocolo DeFi interativo do Agente de IA é operado com base em contratos inteligentes, que podem conter vulnerabilidades não descobertas. Os protocolos DeFi devem passar por auditorias de segurança detalhadas para melhorar a segurança do protocolo o máximo possível.

Beosin concluiu várias auditorias de segurança de projetos AI Agent e DeFai, como Cult World, Tars AI. O escopo da auditoria abrange a segurança do código de contratos inteligentes, a correção lógica da implementação de negócios, a otimização de gás do código do contrato, a descoberta e correção de vulnerabilidades potenciais, entre outros aspectos, impulsionando o desenvolvimento seguro do ecossistema AI+Web 3.

Risco de design do protocolo

O mecanismo de operação e o modelo econômico do protocolo DeFi podem resultar em inadimplência ou outros resultados inesperados em condições de mercado extremas, levando a danos aos ativos dos usuários.

Recentemente, o evento de liquidação do HyperLiquid resultou em perdas de cerca de 4 milhões de dólares para o tesouro do protocolo e seus provedores. A falha reside no fato de o projeto não ter considerado adequadamente a manutenção de margens de garantia para grandes posições e alavancagens máximas. Os arbitragistas/atacantes aproveitaram-se da alavancagem elevada para forçar a liquidação, com as perdas sendo suportadas pelo tesouro do protocolo.

Risco de oráculo / manipulação de preços

Os protocolos DeFi podem depender de oráculos suscetíveis à manipulação ou a problemas técnicos, resultando em informações de preços incorretas, como no incidente anterior da Polter Finance, que sofreu perdas superiores a 7 milhões de dólares. O projeto DeFi dependia das reservas de tokens do UniswapV 2 Pair, que são facilmente manipuláveis, para calcular os preços. O hacker elevou o preço dos tokens do projeto através de um empréstimo relâmpago, emprestando ativos que excediam em muito o valor de sua garantia.

Resumo

Com o contínuo desenvolvimento do DeFai, as finanças descentralizadas entrarão numa nova fase mais amigável, inteligente e eficiente. A profunda integração da IA no campo do DeFi simplificará significativamente o processo de interação do utilizador, otimizará a gestão de riscos e proporcionará uma experiência de interação na cadeia sem costuras. Nesta fase, tanto os jogadores experientes de DeFi como os novatos em DeFi podem facilmente obter informações na cadeia, gerir ativos e executar com segurança várias operações na cadeia com as ferramentas DeFai.

Ao mesmo tempo, os riscos de segurança do sistema DeFai não podem ser ignorados: a gestão das chaves privadas da conta, o controlo de riscos na execução das transações e os vários riscos de terceiros dos protocolos DeFi estão a afetar a segurança dos ativos dos utilizadores. Os utilizadores devem escolher projetos DeFai que tenham sido rigorosamente auditados e testados pelo mercado, de forma a minimizar os riscos financeiros.