Manuel Aráoz, cofondatore della società di sicurezza blockchain OpenZeppelin, afferma di considerare ormai insicuro ogni protocollo di finanza decentralizzata (DeFi), attribuendo la colpa ai rapidi progressi degli agenti di intelligenza artificiale in grado di sfruttare le vulnerabilità del codice.
Nello specifico, il revisore evidenzia Aave, MakerDAO e Compound, tre protocolli di prim'ordine che la sua società ha contribuito a garantire a partire dal 2015.
Aráoz inquadra l'asimmetria della sicurezza
Il dirigente di OpenZeppelin ha sostenuto che gli agenti di programmazione ora superano gli esseri umani nell'individuazione di bug nei contratti intelligenti.
"Ora considero l'intero mondo DeFi non sicuro. Gli agenti di programmazione sono sovrumani nel trovare vulnerabilità e la sicurezza degli smart contract è troppo asimmetrica: i difensori devono correggere ogni bug, mentre agli aggressori basta un solo exploit per rubare fondi", ha scritto in un post.
Ha affermato che lo squilibrio è decisivo perché i difensori devono chiudere ogni falla, mentre agli attaccanti ne basta una sola.
Seguiteci su X per ricevere le ultime notizie in tempo reale.
Il suo avvertimento giunge mentre nuovi parametri di riferimento mostrano che i modelli di frontiera possono individuare e sfruttare autonomamente le vulnerabilità della blockchain, una tendenza che BeInCrypto ha monitorato per tutto il 2026.
Un esperimento condotto all'inizio di quest'anno nella sandbox di a16z ha mostrato un agente che riusciva a uscire dal suo ambiente di test per recuperare una chiave API attiva.
La resistenza del settore cresce rapidamente.
Marc Zeller, fondatore dell'Aave Chan Initiative, ha definito il post "idiota". Ha sostenuto che meno del 10% delle perdite DeFi dello scorso anno è derivato da difetti del codice sorgente, mentre la maggior parte era riconducibile a una configurazione errata dei parametri e a una debole sicurezza operativa.
L'investitore Jacob Franek ha aggiunto che i protocolli ad alto TVL sarebbero già stati sfruttati se la tesi di Aráoz fosse confermata.
Ha inoltre affermato che i timelock e i circuit breaker rimangono efficaci misure di mitigazione non basate sul codice e che gli stessi strumenti di intelligenza artificiale saranno in futuro utilizzati per la verifica formale difensiva durante la distribuzione di nuovo codice.
"Questo è un problema temporaneo. Mythos, o qualunque cosa arriverà subito dopo, sarà probabilmente "il meglio che si possa ottenere" in termini di individuazione di exploit, quindi chi scrive nuovi contratti potrà utilizzare questi stessi modelli per verificare formalmente ed eliminare probabilmente tutte le superfici di attacco (almeno quelle inerenti all'app stessa, ovvero escludendo guasti esterni come il collasso del collaterale o gli exploit dell'oracolo) al momento della distribuzione del codice", ha aggiunto Franek.
OpenZeppelin non ha avallato il consiglio di Aráoz di uscire dal mercato.
L'azienda ha pubblicato a maggio un framework di rischio DeFi a più livelli e ha recentemente lanciato un abbonamento per audit continui assistiti dall'intelligenza artificiale, progettato per integrare le revisioni una tantum.
L'articolo "Un esperto di sicurezza blockchain avverte che tutti i sistemi DeFi sono insicuri poiché gli agenti AI superano le capacità degli auditor" è apparso per la prima volta su BeInCrypto .