Автор: Beosin
Децентралізована фінансова (DeFi) побудувала процвітаюче, відкрите нове фінансове екосистему за допомогою смарт-контрактів з часі останньої хвилі DeFi Summer. Однак з розвитком DeFi багато DeFi протоколів стають все складнішими, рівень знань, необхідний для розуміння відповідних протоколів, також зростає, що ускладнює здатність багатьох звичайних користувачів чітко розуміти ризики протоколу та взаємодіяти із DeFi протоколами в безпеці.
З кінця 2024 року AI Agent став гарячою точкою в ончейн-екосистемі, і поєднання DeFi та AI (DeFai) намагається впровадити інновації в DeFi-трек: звичайні користувачі можуть спростити процес взаємодії DeFi та оптимізувати свої торгові рішення за допомогою штучного інтелекту, перетворюючи DeFi на більш зручну, інтелектуальну та ефективну фінансову екосистему. У цій статті Beosin розповість вам про те, як працює DeFai та проблеми безпеки, з якими він стикається, надаючи користувачам більш чітке розуміння ризиків.
Архітектура технології DeFai
У блокчейні AI Agent може виступати як інтерфейс між користувачем та DeFi протоколом, замінюючи взаємодію користувача з розумними контрактами, обробляючи складні виклики контрактів без необхідності постійної ручної дії користувача. Шляхом вивчення проектів DeFai на ринку ми розглянемо архітектуру таких проектів наступними ключовими компонентами:
- Управління обліковим записом
1.1 Розумний рахунок (ERC-4337)
Традиційний обліковий запис EOA не розділяє зберігання активів від підпису угод — той самий обліковий запис, який має кошти, повинен підписати кожну угоду. Інтелектуальний обліковий запис, який відповідає ERC-4337, відокремлює зберігання активів від авторизації угод за допомогою програмованої перевірочної логіки, що дозволяє безпечно делегувати виконання угод AI Agent, зберігаючи при цьому обліковий запис у незбереженому стані.
Коли користувач взаємодіє з такою системою DeFai, система створює розумний рахунок, пов’язаний з особистим рахунком EOA користувача. Цей розумний рахунок повністю належить і контролюється користувачем, і виконує складні операції від імені користувача.
1.2 Мультипідписний поріг (MPC-TSS)
Для неповністю автономних додатків DeFai MPC-TSS може розбивати ключі між штучним інтелектом, користувачем та довіреною третьою стороною, забезпечуючи користувачу певний рівень контролю над штучним інтелектом.
1.3 Довірена обчислювальна середовище (TEE)
Для повністю автономних систем штучного інтелекту TEE надає безпечне рішення, зберігаючи приватний ключ у безпечному шифрованому середовищі, що дозволяє AI-агенту виконувати операції від імені користувача в довіреному захищеному середовищі, не піддаючись втручанню третіх сторін.
У кожного із цих трьох варіантів є свої переваги та недоліки: розумний рахунок та рішення MPC є безпечними та керованими, але їх використання обмежене попередньо визначеними правилами та дозволами, в той час як TEE-рішення надає більшу вільність, але вимагає вирішення проблем на рівні апаратної частини проекту.
- Модуль виконання рішень
Цей модуль виступає як інтерфейс між штучним інтелектом та екосистемою децентралізованих фінансів, забезпечуючи взаємодію зовнішніх протоколів через стандартизований абстракційний рівень, перетворюючи ринкові дані та інструкції користувачів на операційні блокчейн-транзакції.
Цей процес включає кілька етапів:
Перший етап - агрегація даних, де AI Agent повинен обробляти постійно надходячу інформацію з ланцюжка даних, DeFi протоколів та ринку. Ці дані повинні бути оброблені і подані в цей модуль у нормативному форматі.
Зчитайте дані контракту
Друга фаза - це оцінка рішень, система може використовувати дані першої фази, поєднуючи традиційні фінансові алгоритми та штучний інтелект, для виявлення можливостей, які відповідають цілям користувача, такі як система прогнозування APR, система торгівлі токенами Meme на основі подій. Це допоможе AI Agent оптимізувати вибір моменту утримання та об’єктів торгівлі.
На третьому етапі AI Agent перетворює попередні рішення та інструкції користувача в конкретні операції на ланцюжку, які вже мають визначені точні параметри угод (адреса контракту, кількість токенів тощо), як показано на наступній діаграмі:
Створення пулу ліквідності Uniswap V 3
- Модуль управління ризиками
Для протоколу DeFai розробникам потрібно впровадити багаторівневий захист, щоб забезпечити безпеку коштів користувачів та зменшити ризики отримання прибутку від DeFi. Цей модуль ризику повинен працювати цілодобово, враховуючи безпеку розумних контрактів різних DeFi протоколів, управлінські ризики, ліквідність, вплив цін, волатильність та історичну надійність.
Для користувачів DeFai дозволяє користувачам ефективно взаємодіяти з багатьма ланцюгами DeFi, не досліджуючи конкретні деталі кожного ланцюга, протоколу та екосистеми.
Ризики безпеки
Побудова DeFai ґрунтується на існуючих протоколах DeFi, тому крім системних ризиків самого протоколу DeFai (управління обліковими записами, управління ризиками), користувачам слід також звертати увагу на можливість наступних безпекових ризиків під час управління криптовалютними активами через DeFai.
- Ринковий ризик
Slippage/MEV-атака на угоду
Коли AI Agent здійснює обмін токенів або робить AMM ліквідність у пулі, обмін токенів або створення LP може призвести до значного зносу угод через проблеми з ліквідністю в початковому пулі або атаку MEV-роботів, що призводить до втрат угод. Нижче наведено випадок, коли певний користувач втратив близько 210 тис. доларів при обміні USDC на USDT через атаку MEV:
Ризик ліквідності
Під час значних коливань на ринку ліквідність протоколів DeFi (особливо позикових протоколів) може бути обмежена, що може вплинути на операції з депозитами або виведення коштів користувачів.
- Ризики угоди
Ризики смарт-контрактів
Кожний протокол DeFi, який взаємодіє з AI Agent, працює на основі смарт-контрактів, які можуть містити вразливості, які не були виявлені. Протоколи DeFi повинні пройти ретельну аудиторію безпеки, щоб максимально підвищити безпеку протоколу.
Beosin вже завершила безпековий аудит декількох AI Agent та DeFai проєктів, таких як Cult World, Tars AI. Аудит включає в себе безпеку коду розумних контрактів, правильність бізнес-логіки реалізації, оптимізацію газу коду контракту, виявлення потенційних вразливостей та усунення вразливостей тощо, що сприяє безпечному розвитку екосистеми AI+Web 3.
Ризики дизайну протоколу
Механізм роботи та економічна модель DeFi протоколів можуть спричиняти неплатоспроможність або неочікувані наслідки в умовах екстремального ринку, що може призвести до збитків для користувачів.
Недавній розрахунок HyperLiquid призвів до втрат приблизно 4 мільйонів доларів для казначейства протоколу та його постачальників через те, що дефект полягав у тому, що команда проекту не розглянула досконало підтримку великих позицій і максимального кредитного ризику. Арбітражисти / атакувальники використовували високий кредитний плечі для протидії, а втрати в результаті протидії покладалися на казначейське казначейство протоколу.
Ризики/маніпулювання цінами проривного механізму
Протоколи DeFi можуть залежати від маніпулювання або технічних проблем передбачуваного механізму харчування, що може призвести до появи неправильної інформації про ціни, як у випадку інциденту Polter Finance, де збитки перевищили 7 мільйонів доларів. Цей DeFi проект залежить від токенових резервів пари UniswapV 2, які легко піддавати маніпулюванню, для розрахунку цін, і хакери збільшили ціну токенів проекту за допомогою миттєвого кредиту, видаючи значно більше активів, ніж вартість їх застави.
Узагальнення
З розвитком DeFai децентралізована фінансова сфера перейде в більш користувацько-дружній, інтелектуальний та ефективний новий етап. Глибока інтеграція штучного інтелекту в галузі DeFi значно спростить процес взаємодії користувачів, оптимізує управління ризиками та забезпечить безшовний досвід взаємодії на ланцюжку. На цьому етапі як досвідчені гравці DeFi, так і новачки зможуть легко отримувати інформацію на ланцюжку, управляти активами та безпечно виконувати різноманітні операції на ланцюжку завдяки інструментам DeFai.
Одночасно, ризики безпеки системи DeFai не можна недооцінювати: управління приватними ключами облікових записів, контроль ризиків виконання угод та ризики третіх сторін усі впливають на безпеку активів користувачів. Користувачі повинні вибирати проекти DeFai, які пройшли строгу перевірку та випробування на ринку, щоб зменшити фінансові ризики до мінімуму.
