AI Yang Mencuri Lebih Cepat Daripada Yang Anda Boleh Audit

Era pengauditan manual dalam DeFi sedang berakhir. GPT-5 dan Claude boleh mengenal pasti dan mengeksploitasi kerentanan dalam kontrak pintar Ethereum secara autonomi. Integriti masa depan sektor DeFi kini bergantung kepada keupayaan industri untuk mengatur gerak AI pertahanan pada kelajuan ancaman tersebut.

Bagaimana AI Melaksanakan Eksploitasi

Kontrak pintar ialah program pelaksanaan kendiri, yang ditulis kebanyakannya dalam Solidity untuk Mesin Maya Ethereum (EVM). Ia beroperasi seperti ini - masukkan dana, penuhi syarat, dapatkan hasil. Kerentanan ialah kecacatan pengekodan yang membolehkan penyerang memintas syarat yang ditetapkan.

GPT-5 dan Claude Opus 4.5 berfungsi sebagai Penjana Eksploitasi Agentik menggunakan proses lelaran yang canggih:

1. Ejen AI diberikan sasaran - alamat kontrak, nombor blok. Ia menggunakan alat khusus untuk mendapatkan kod sumber, ABI (Antara Muka Perduaan Aplikasi) kontrak dan keadaan semasa dalam rantaian.
2. Model tersebut menganalisis kod dan keadaan untuk corak kelemahan yang diketahui. Kemudian, ia mensintesis Bukti Konsep eksploit sebagai kontrak Soliditi berniat jahat yang baharu.
3. PoC dijalankan dalam persekitaran rantaian blok simulasi (contohnya, rangkaian bercabang menggunakan Foundry). Ini adalah langkah penting. Jika eksploitasi gagal, AI menganalisis jejak transaksi dan mengembalikan sebab, menggunakan maklum balas ini untuk memperhalusi dan menjana skrip eksploitasi baharu yang dioptimumkan.
4. Ejen hanya melaporkan kejayaan jika eksploitasi tersebut menghasilkan pendapatan positif bersih.

Para penyelidik telah berjaya menggunakan ejen-ejen ini untuk menghasilkan semula eksploitasi bagi ratusan kerentanan sejarah pada penanda aras, secara kolektifnya menghasilkan eksploitasi simulasi bernilai $4.6 juta. Dalam simulasi terhadap kontrak yang baru digunakan dan tidak diaudit, ejen-ejen tersebut berjaya mendedahkan kerentanan hari sifar, iaitu kelemahan yang sebelum ini tidak diketahui oleh sesiapa pun.

Asimetri Ekonomi dan Krisis Audit

Audit Manual tidak boleh diskalakan terhadap tahap ancaman baharu ini. Juruaudit manusia sedang bergelut untuk mengikuti perkembangan, yang tercermin dalam pasaran: Chainalysis melaporkan bahawa penggodaman berkaitan DeFi menyumbang peratusan dominan bagi semua kecurian kripto pada tahun 2024, satu trend yang kemungkinan besar akan dipercepatkan oleh eksploitasi AI. Peningkatan risiko ini menjejaskan penerimaan pengguna dan nilai pasaran untuk keseluruhan ekosistem Ethereum.

Penggodaman paling terkenal DAO pada tahun 2016. Pepijat kemasukan semula berlaku apabila kontrak menghantar Ether ke alamat luaran dan kemudian mengemas kini keadaan dalamannya selepas panggilan luaran. Kontrak penyerang termasuk fungsi sandaran yang, apabila menerima Ether, memanggil kontrak asal sekali lagi untuk mengeluarkan lebih banyak dana sebelum baki berkurangan. Ini membolehkan penyerang mengulangi pengeluaran beberapa kali. AI boleh memodelkan dan melaksanakan urutan berbilang transaksi ini dengan mudah, yang kompleks untuk analisis statik sahaja.

Kesimpulan Utama

• Ejen LLM moden boleh menjana, menguji dan memperhalusi eksploitasi kontrak pintar yang menguntungkan secara autonomi.
• Ulasan yang berasaskan manusia tidak dapat menandingi penjanaan eksploitasi yang berulang dan didorong oleh maklum balas.
• Satu eksploitasi yang berjaya membuahkan hasil untuk kegagalan yang tidak terhingga; pembela mesti betul setiap masa.
• Banyak eksploitasi berimpak tinggi (kemasukan semula, kecacatan logik yang bergantung kepada keadaan) hanya muncul melalui pelaksanaan dinamik.
• Ejen AI sedang mendedahkan kelemahan yang belum pernah didokumenkan atau dikenal pasti oleh manusia sebelum ini.