Top Audit Expert Warns: All DeFi is Unsafe, Withdraw Now!

marsbitPublié le 2026-05-28Dernière mise à jour le 2026-05-28

Résumé

A leading DeFi security expert has issued a stark warning: all DeFi is now unsafe. Manuel Aráoz, founder of major security audit firm OpenZeppelin, stated on X that he is advising friends and family to withdraw funds from major protocols like Aave, MakerDAO, and Compound. The core reason for this drastic shift is the rise of AI. Aráoz argues that AI-powered coding agents can now identify and exploit smart contract vulnerabilities at an exponentially faster rate. This turns DeFi's transparency into a liability, providing a vast training dataset for attackers. The fundamental asymmetry of security—where defenders must patch every flaw, but attackers need only find one—is being catastrophically unbalanced by AI. Recent months provide chilling evidence. April saw massive exploits, including a $280 million loss at Drift Protocol and a $292 million theft from Kelp DAO. The trend continued into May with multiple high-value attacks on protocols like THORChain, Verus, Echo Protocol, and StakeDAO, demonstrating vulnerabilities across both on-chain code and off-chain management. AI acts as a force multiplier for hackers, enabling near-instantaneous vulnerability scanning, automated exploit script generation, and sophisticated social engineering. The recent development of ultra-powerful AI models like Anthropic's Mythos—so advanced its public release was delayed over security fears—signals even greater threats ahead. The article concludes that the risk-reward calculus for DeFi partic...

Original | Odaily Planet Daily(@OdailyChina)

Author | Azuma(@azuma_eth)

“I believe all DeFi is now unsafe.”

This assertion left by OpenZeppelin founder Manuel Aráoz on X yesterday, like a depth charge, once again rocked the already stagnant DeFi market.

Manuel even stated that he has started advising friends and family to withdraw funds from major DeFi protocols, including blue-chip protocols like Aave, MakerDAO, and Compound, which were once considered low-risk.

This is not alarmism from an outsider. On the contrary, Manuel himself is one of the core builders of the DeFi security system, and OpenZeppelin is one of the industry's most mainstream security auditing firms. Its contract libraries, security standards, and audit frameworks have permeated nearly the entire DeFi world.

The reason for Manuel's complete shift in attitude lies in AI. Manuel pessimistically believes that the ability of AI Coding Agents to identify and exploit smart contract vulnerabilities is increasing exponentially.

This means that issues which previously required top-tier white-hat teams weeks to discover might now be scanned by AI in minutes; where hackers once needed long-term study of protocol logic, attack paths can now be analyzed automatically by AI; the "open and transparent" nature of DeFi, once an advantage, has now become the best training corpus for attackers.

Manuel also raised a more fatal problem: Smart contract security is essentially an extremely asymmetric game — the defense must patch all vulnerabilities, while the attacker only needs to find one to steal funds. As AI begins to exponentially enhance attack efficiency, this asymmetry is rapidly becoming unbalanced.

The Cold Reality: DeFi Has Become a Cash Cow for Hackers

Looking back at DeFi security incidents over the past few months, you'll find that Manuel's concerns are not exaggerated.

April was almost the worst month in DeFi's history.

  • On April 1st, April Fool's Day, Drift Protocol lost $280 million due to manager privilege hijacking and multi-signature execution vulnerabilities (details in "An April Fool's Joke? Drift Protocol Hacked for Over $280M, Potentially Becoming Solana Ecosystem's Second-Largest DeFi Heist").
  • Subsequently, on April 19th, Kelp DAO lost $292 million due to a bridge protocol breach (details in "DeFi Hacked Again for $292M, Is Even Aave Unsafe Now?"). The hacker later escaped via lending protocols like Aave, casting the shadow of bad debt and its cascading effects over the entire DeFi sector.

Entering May, incidents not only didn't decrease but further proliferated.

  • On May 15th, THORChain was attacked. A newly joined node operator exploited a vulnerability in the GG20 Threshold Signature Scheme (TSS), reconstructed the vault private key, and directly executed outbound transactions, causing over $10 million in losses.
  • On May 18th, Verus's bridge protocol was attacked. The attacker forged cross-chain import payloads, bypassed verification to extract assets from the Ethereum reserve, stealing approximately $11.58 million.
  • On May 19th, Echo Protocol on Monad was attacked due to a private key leak. The attacker minted 1,000 eBTC (worth $76.7 million) and extracted funds via Curvance using a previously tested attack path.
  • On May 24th, StablR, a compliant stablecoin issuer under the MiCA regulatory framework, was attacked. The hacker profited over $2.8 million by minting EURR and USDR, causing EURR and USDR to depeg.
  • On May 25th, the SquidRouter module was attacked, resulting in approximately $3 million in assets stolen from 86 Gnosis Safe wallets.
  • On May 27th, the StakeDAO deployer private key was leaked on Arbitrum. The attacker minted about 5.45 trillion vsdCRV and exchanged part of it for 43.7 ETH to escape.

The frequently occurring security incidents have sounded the alarm. DeFi seems to be collapsing across the board, from on-chain code to off-chain management.

AI Has Become the Hackers' Nuclear Weapon

Why has the DeFi offense-defense dynamic suddenly accelerated towards collapse this summer? Beyond the evolution of traditional hacking techniques, the rapid advancement of AI large language models is becoming the ultimate factor tipping the balance.

In the past, finding a complex smart contract vulnerability (especially those involving cross-chain, multi-layer nesting, or extremely hidden reentrancy logic) required top hackers weeks or even months of code review. However, with the maturity of AI agents possessing ultra-long context, strong logical reasoning, and autonomous tool-calling capabilities, this has changed fundamentally.

  • Second-Level Scanning and Global "Zero-Day" Vulnerability Mining: Attackers only need to feed the open-source codebase to the new generation of AI reasoning models. The AI can, within seconds, deduce hundreds of extreme interaction scenarios like a seasoned security expert, accurately pinpointing edge cases missed by human auditors during fatigue.
  • Automated Attack Script Generation: AI can not only discover vulnerabilities but also automatically write, test, and deploy the "hacker smart contracts" used to extract funds.
  • Perfect Orchestration of Off-Chain DevOps and Social Engineering: AI can impersonate perfect developers for phishing or monitor DeFi teams' GitHub commit logs around the clock. Once a team uploads code containing sensitive information or unverified fixes, the AI will launch an attack within seconds—far faster than any human security team's response time.

In this security warfare augmented by AI, hackers, armed with AI, possess nearly infinite ammunition and second-level attack speed. DeFi, however, is constrained by slow-paced governance voting, multi-signature confirmations, and lagging security audits, making it difficult to mount a corresponding defensive response.

Last month, Anthropic, the AI development company behind Claude, officially announced its next-generation model, Mythos (details in "Anthropic Creates the Most Powerful AI Model Ever, But Dares Not Release It..."). This is the first model in human history to break the hundred-trillion parameter threshold (in contrast, mainstream models currently range from hundreds of billions to one trillion parameters), with a staggering training cost of $10 billion.

However, due to Mythos's specialized capabilities in cybersecurity (Anthropic disclosed that using Mythos, they identified thousands of zero-day vulnerabilities in just a few weeks), Anthropic even dares not publicly release the model directly, for fear of malicious use by hacking groups. Instead, they plan to first allow leading large companies to test and preemptively patch potential vulnerabilities through a "Glasswing" initiative.

With the DeFi security situation already so severe at this stage, it's hard to imagine what new threats the industry's security defenses will face once Mythos is publicly released.

The Biggest Problem: Risk-Reward Ratio Has Long Been Unbalanced

For ordinary DeFi participants, liquidity providers (LPs), and whales, the most important question now is to sit down and calculate.

For a long time, the reason users chose to deposit funds into DeFi was to pursue annualized yields several times higher than those in traditional finance. During bull markets or the frenzy of liquidity mining, yields of 10%, 20%, or even higher were enough to cover people's psychological expectations for "potential technical risks."

But today, this underlying logic has long been shaken and even overturned. The risk-reward ratio of DeFi is already unbalanced. On the reward side, as the market enters a game of limited players and safety margins thicken, the real yields of most mainstream, relatively reliable DeFi protocols have fallen back to single-digit ranges. On the risk side, users' principal is exposed to a black box that could be breached by AI at any moment and emptied by a flash loan in an instant. Once a protocol is hacked, token prices plummeting to zero and liquidity pools being drained often happen within minutes, with no legal recourse, insurance, or central bank to provide coverage.

The risk of losing 100% of principal to chase roughly 5% annualized yield is clearly not a good deal.

Manuel's words may be somewhat absolute, but they tear off DeFi's last fig leaf. In the face of the reality where hackers have made AI a conventional weapon and security incidents continue to erupt in the industry, if you are not prepared for the psychological expectation of losing 100% of your principal for a certain yield, then "withdrawing funds as soon as possible and realizing profits" might be the most rational and risk-control-principled choice in the current market cycle.

Questions liées

QAccording to the article, what is the main reason Manuel Aráoz gives for his statement that all DeFi is unsafe?

AThe main reason is the exponential enhancement of AI Coding Agents in identifying and exploiting vulnerabilities in smart contracts, making it easier and faster for attackers to find and exploit flaws.

QWhat does the article highlight as the fundamental asymmetry in smart contract security?

AThe fundamental asymmetry is that defenders must fix all vulnerabilities to be secure, while attackers only need to find a single vulnerability to steal funds.

QWhy is the AI model 'Mythos' from Anthropic mentioned as a particular concern in the context of DeFi security?

AMythos is a concern because it has demonstrated a powerful specialization in cybersecurity, being able to identify thousands of zero-day vulnerabilities in a short time, which could be weaponized by hackers if publicly released.

QWhat is the article's conclusion about the risk-reward ratio for users participating in DeFi protocols currently?

AThe article concludes that the risk-reward ratio is imbalanced. The potential risk of losing 100% of principal now outweighs the relatively low single-digit percentage annual yields offered by many protocols.

QWhich two major DeFi protocols were specifically mentioned as examples from which Manuel Aráoz is advising friends and family to withdraw funds?

AAave and Compound were specifically mentioned as examples of previously considered low-risk blue-chip protocols from which he advises withdrawal.

Lectures associées

Les Données On-Chain Montrent que les Grands Portefeuilles Accumulent Ozak AI Tandis que les Particuliers Restent Axés sur les Valeurs Phares

Les données on-chain révèlent une divergence notable dans les stratégies d'investissement en 2025. Alors que les investisseurs particuliers restent concentrés sur les actifs traditionnels comme le Bitcoin et l'Ethereum, les portefeuilles institutionnels et les « baleines » accumulent activement le token $OZ lors de la prévente en cours du projet Ozak AI. Les analyses montrent une augmentation significative des transactions provenant de grandes adresses connues, historiquement précoces sur des altcoins prometteurs. La prévente d'Ozak AI, ayant déjà levé plus de 7 millions de dollars avec plus d'un milliard de tokens vendus, fonctionne sur un mécanisme de prix par paliers, actuellement à 0,012$ par $OZ. Les grands portefeuilles semblent profiter de cette structure pour accumuler à bas prix. Cette accumulation soutenue et planifiée contraste avec l'intérêt retail pour les blue chips et est souvent interprétée comme un signal « smart money » précédant une potentielle réévaluation à la cotation publique. Cette dynamique pourrait annoncer un regain d'intérêt pour les projets blockchain centrés sur l'IA avant une adoption plus large par le grand public.

TheNewsCryptoIl y a 46 mins

Les Données On-Chain Montrent que les Grands Portefeuilles Accumulent Ozak AI Tandis que les Particuliers Restent Axés sur les Valeurs Phares

TheNewsCryptoIl y a 46 mins

Or, monnaies fiduciaires, Bitcoin : qui dominera la finance mondiale dans 10 ans ?

En 2026, le monde évolue vers une multipolarité croissante, une tendance qui devrait se poursuivre jusqu'en 2036. L'ère unipolaire dominée par le dollar américain, caractéristique des décennies récentes, apparaît comme une anomalie historique. Auparavant, la multipolarité était la norme, reflétée dans la diversité monétaire avec l'or et l'argent comme supports de valeur. À l'ère des télécommunications, le dollar est devenu la monnaie de réserve mondiale, mais les déséquilibres comme le dilemme de Triffin ont érodé la confiance. Aujourd'hui, ni les États-Unis ni d'autres puissances ne souhaitent ou ne peuvent supporter pleinement le fardeau d'être le grand livre mondial unique. Ainsi, une multipolarité monétaire émerge. Trois options se présentent : 1. **L'or** : Une réserve de valeur éprouvée, suffisamment liquide, qui ne peut être dévaluée unilatéralement, gelée ou piratée. 2. **La diversification des monnaies fiduciaires** : Répartir les réserves entre plusieurs grandes devises pour diluer les risques, bien que les effets de réseau favorisent naturellement une monnaie dominante. 3. **Le Bitcoin** : Offrant un registre à la fois rapide et décentralisé, il représente une alternative numérique. Ses défis sont sa sécurité à long terme, son adoption encore limitée et sa volatilité durant sa phase de croissance. Son succès dépendra de sa capacité à préserver ses propriétés fondamentales (souveraineté financière, transactions sans autorisation) et à éroder les effets de réseau des monnaies existantes. D'ici 2036, l'or et les principales monnaies fiduciaires devraient rester largement utilisés. Le Bitcoin, s'il réussit, pourrait voir sa capitalisation rivaliser avec les plus grandes monnaies. Son principal défi n'est pas technique ou gouvernemental, mais humain : son adoption massive nécessitera que des centaines de millions de personnes valorisent activement la souveraineté financière et choisissent d'utiliser les outils qui la préservent. La question centrale est de savoir si l'humanité saisira cette opportunité ou y renoncera.

marsbitIl y a 1 h

Or, monnaies fiduciaires, Bitcoin : qui dominera la finance mondiale dans 10 ans ?

marsbitIl y a 1 h

OpenAI mange-t-il la couche application ? a16z affirme que les véritables opportunités se trouvent au-delà des modèles généraux

Alors que les capacités des grands modèles de langage s'améliorent, une inquiétude émerge dans la couche applicative de l'IA : les sociétés de modèles comme OpenAI ou Anthropic, avec leurs avantages en matière de modèle, de distribution et de marque, risquent-elles d'absorber tout l'espace des applications ? L'associé d'a16z, Joe Schmidt, répond à cette question en utilisant la métaphore de la « Route de briques jaunes » du *Magicien d'Oz*. Il distingue deux catégories d'opportunités. La première, la « Route de briques jaunes », est celle que les laboratoires de grands modèles investissent directement : la génération de code, d'écrits, d'images, les assistants génériques. La seconde, « le reste du pays d'Oz », représente les scénarios verticaux complexes, intégrés aux processus métiers, dépendant de flux de travail spécifiques, de données, de conformité et d'intégrations système. Pour Schmidt, la vraie opportunité pour les startups réside dans ce second domaine. Les entreprises paient pour des systèmes responsables de résultats concrets, capables de gérer des données désordonnées, des validations multiples, des cas limites, la conformité, et l'optimisation des coûts face à l'évolution des modèles. L'article souligne que si les modèles sous-jacents deviendront plus puissants et interchangeables, la valeur durable proviendra des données, processus, connaissances métier et « mémoire opérationnelle » accumulés autour de flux de travail spécifiques. Les startups doivent éviter la route concurrentielle des modèles et se concentrer sur les domaines « plus sales, plus lents, mais plus proches de la valeur commerciale réelle ». L'analyse est illustrée par des exemples concrets dans les ventes (avec la startup 11x) et l'assurance (avec FurtherAI), montrant comment la création de systèmes verticaux, l'optimisation des coûts, la gestion de la gouvernance et l'apprentissage continu à partir des données métier constituent des avantages compétitifs durables face aux laboratoires généralistes. En somme, la prochaine génération de logiciels d'entreprise se construira « ailleurs dans le pays d'Oz », en se positionnant comme la couche indispensable qui intègre et opérationnalise les modèles d'IA au cœur des processus métiers complexes.

marsbitIl y a 2 h

OpenAI mange-t-il la couche application ? a16z affirme que les véritables opportunités se trouvent au-delà des modèles généraux

marsbitIl y a 2 h

Tombée sous les 75 000 $, Bitcoin va-t-il connaître sa dernière chute ?

Le prix du Bitcoin est tombé en dessous de 75 000 $, pour s'établir autour de 74 000 $. Le marché montre des signes de panique, avec plus de 470 millions de dollars de liquidations. Les ETF américains sur le Bitcoin et l'Ethereum connaissent des sorties nettes significatives, les investisseurs institutionnels réalisant probablement leurs bénéfices après la récente hausse. Des tensions géopolitiques au Moyen-Orient, notamment entre les États-Unis et l'Iran, ajoutent à l'incertitude, incitant les investisseurs à se tourner vers des actifs refuges traditionnels plutôt que vers les cryptomonnaies. Des analystes estiment que la zone de 75 000 à 76 000 $ est cruciale pour le Bitcoin : si elle est maintenue, une reprise est possible ; si elle est franchie, le prix pourrait chuter vers 70 000 à 72 000 $. Les indicateurs suggèrent que le marché pourrait être proche d'un point bas, mais il pourrait subir une dernière baisse avant une reprise durable. Une stratégie de portefeuille diversifié est recommandée.

marsbitIl y a 2 h

Tombée sous les 75 000 $, Bitcoin va-t-il connaître sa dernière chute ?

marsbitIl y a 2 h

Marvell, le "géant de l'ASIC", enregistre un chiffre d'affaires record et relève ses prévisions, le PDG déclare que l'activité data center "explose"

Marvell, leader des puces sur mesure pour l'IA et de l'interconnexion de centres de données, a publié des résultats record pour le premier trimestre de son exercice 2027 et a considérablement relevé ses prévisions, porté par une demande explosive liée à l'intelligence artificielle. Le chiffre d'affaires du trimestre s'est établi à 2,418 milliards de dollars, en hausse de 28% sur un an. L'activité phare, les centres de données, a contribué à 76% du total, avec un chiffre d'affaires de 1,83 milliard de dollars (+27% sur un an). Le PDG Matt Murphy a déclaré que cette division "est en feu", avec des commandes "exceptionnellement fortes". Guidé par cette dynamique, Marvell a relevé ses prévisions pour l'exercice 2027 à environ 11,5 milliards de dollars de chiffre d'affaires, et a introduit une prévision pour 2028 d'environ 16,5 milliards, soit une croissance d'environ 45%. Deux segments sont particulièrement moteurs : * **L'interconnexion** (optique, modules DCI) : sa croissance annuelle anticipée a été révisée à la hausse pour dépasser 70%. La direction estime qu'il existe un "potentiel significatif de dépassement". * **Les puces sur mesure (XPU)** : Leur chiffre d'affaires devrait doubler en 2028 et dépasser l'objectif de 10 milliards de dollars en 2029. L'entreprise a également annoncé un élargissement de son partenariat stratégique avec NVIDIA, portant sur l'optique silicium, l'intégration NVLink et les solutions AI-RAN pour les réseaux 5G/6G. Pour sécuriser sa chaîne d'approvisionnement face à la demande, Marvell prévoit environ 1 milliard de dollars d'acomptes aux fournisseurs sur l'exercice 2027.

marsbitIl y a 2 h

Marvell, le "géant de l'ASIC", enregistre un chiffre d'affaires record et relève ses prévisions, le PDG déclare que l'activité data center "explose"

marsbitIl y a 2 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow