Manuel Aráoz, medgrundare av blockchain-säkerhetsföretaget OpenZeppelin, säger nu att han anser att varje decentraliserat finansprotokoll (DeFi) är osäkert. Han skyller detta på snabba framsteg inom AI-kodexploateringsagenter.
Revisorn nämner särskilt Aave, MakerDAO och Compound, tre stora protokoll som hans företag har hjälpt att säkra sedan 2015.
Aráoz om säkerhetsasymmetrin
OpenZeppelin-chefen menar att kodagenter nu är bättre än människor på att hitta buggar i smarta kontrakt.
“Jag anser nu att hela DeFi är osäkert. Kodagenter är övermänskliga på att hitta svagheter, och säkerheten i smarta kontrakt är för asymmetrisk. De som försvarar måste laga varje bugg, men de som attackerar behöver bara ett exploit för att stjäla tillgångar,” skrev han i ett inlägg.
Han menar att denna obalans är avgörande eftersom försvararna måste åtgärda varje brist, men angriparna behöver bara utnyttja en.
Följ oss på X för att få de senaste nyheterna direkt
Hans varning kommer samtidigt som nya tester visar att avancerade AI-modeller kan hitta och utnyttja blockchain-sårbarheter själva. Detta är en trend som BeInCrypto har följt under 2026.
Ett a16z-sandlådeexperiment tidigare i år visade en AI-agent som lyckades lämna sin testmiljö och hämta en aktiv API-nyckel.
Snabbt motstånd från branschen
Marc Zeller, grundare av Aave Chan Initiative, kallade inlägget “korkat”. Han menar att mindre än 10% av förra årets DeFi-förluster kom från fel i kodbasen. De flesta förluster berodde istället på felaktiga parametrar och svag operationell säkerhet.
Investeraren Jacob Franek lade till att redan idag hade stora DeFi-protokoll blivit tömda om Aráoz hade rätt.
Han säger även att tidslås och nödstopp fortfarande fungerar bra som extra skydd, och att samma AI-verktyg snart kommer att användas för formell verifiering av koden när nya protokoll lanseras.
“Detta är ett tillfälligt problem. Mythos, eller vad som än kommer snart, kommer nog vara så bra det blir på att hitta exploits. De som skriver nya kontrakt kommer att kunna använda dessa modeller för att formellt verifiera och förmodligen ta bort alla angripbara ytor (åtminstone de som finns i själva appen – alltså, externa misslyckanden som säkerhetskollaps eller oracle-exploits undantagna) vid lansering,” lade Franek till.
OpenZeppelin har själva inte stött Aráoz råd om att lämna protokollen.
Företaget publicerade i maj en egen riskmodell för DeFi och har nyligen lanserat en AI-assisterad revisionstjänst som uppdaterar säkerheten kontinuerligt och ska komplettera engångsgranskningar.
