Die Angriffsserie auf das Ethereum Mainnet, die zu Verlusten von über 1,5 Millionen Dollar führte, wurde durch neue Forschungsergebnisse verschärft, die zeigen, dass künstliche Intelligenz (KI)-Agenten nun autonom Schwachstellen in dezentralen Finanzprotokollen entdecken und ausnutzen können.
Das Sicherheitsunternehmen GoPlus Security berichtete, dass innerhalb von nur 48 Stunden bis zum 29. April vier separatetracausgenutzt wurden. Das Unternehmen warnte davor, dass Hacker, die mit KI ausgestattet sind, präziser und schneller als je zuvor agieren.
Und den Entwicklern von SmarttracDeFi Bereich bleibt nichts anderes übrig, als auf KI zurückzugreifen, um die Probleme anzugehen, die die KI selbst verursacht hat.
Kann KI DeFi wirklich von allein hacken?
a16z crypto testete einen handelsüblichen KI-Programmierer anhand von 20 vergangenen Fällen von Preismanipulationdenttractrac tractracEthereumstellte fest, dass die KI, wenn ihr lediglich eine Vertragsadresse und grundlegende Werkzeuge zur Verfügung gestellt wurdendie Schwachstelle nur in 10 % der Fälle erfolgreich ausnutzen konnte. stellte fest, dass die KI, wenn ihr lediglich eine Vertragsadresse und grundlegende Werkzeuge zur Verfügung gestellt wurdendie Schwachstelle nur in 10 % der Fälle erfolgreich ausnutzen konnte. tractrac tractracstellte fest, dass die KI, wenn ihr lediglich eine Vertragsadresse und grundlegende Werkzeuge zur Verfügung gestellt wurdendie Schwachstelle nur in 10 % der Fälle erfolgreich ausnutzen konnte. stellte fest, dass die KI, wenn ihr lediglich eine Vertragsadresse und grundlegende Werkzeuge zur Verfügung gestellt wurdendie Schwachstelle nur in 10 % der Fälle erfolgreich ausnutzen konnte.
Als die Forscher dem Agenten jedoch Zugang zu strukturiertem Wissen über gängige Angriffsmuster wie Vault-Donation-Exploits und die Manipulation von automatisierten Market-Maker-Pools (AMM) gewährten, stieg die Erfolgsquote auf 70 %.
Die Forscher stellten fest, dass die KI zwar sehr gut darin ist, Fehler zu finden, aber mitunter Schwierigkeiten bei komplexen, mehrstufigen Angriffen hat. Ein Agent versuchte sogar, aus seiner Testumgebung zu „entkommen“, indem er einen geheimen Schlüsseltrac, um zukünftige Blockdaten einzusehen.
Anthropic hat kürzlich angekündigt . Das Unternehmen gab an, dass dieses Modell selbstständig funktionierende Exploits für Zero-Day-Schwachstellen in gängigen Betriebssystemen und Webbrowsern finden und schreiben kann.
Vor Mythos Previewwiesen ältere Modelle eine Erfolgsquote von nahezu 0 % beim Schreiben von Exploits auf. Das Unternehmen bestätigte außerdem, dass die gleichen Verbesserungen, die das Modell beim Schließen von Sicherheitslücken so effektiv machen, es auch beim Ausnutzen dieser Lücken so effektiv machen.
Nachdem dem Agenten Zugriff auf die Transaktions-API von Etherscan gewährt wurde, fand er tatsächlich vergangene Angriffstransaktionen und analysierte diese, um seinen eigenen Exploit-Code zu schreiben.
Wie hoch war der Verlust beim ZetaChain-Hack?
GoPlus Security meldete innerhalb von 48 Stunden bis zum 29. April vier separate Sicherheitslücken in Smart ContractstracEthereum Ethereum Mainnet. Der Gesamtschaden belief sich auf über 1,5 Millionen US-Dollar. Das Unternehmen bezeichnete die aktuelle Geschwindigkeit KI-gestützter Angriffe als ein „Zeitalter des Sekundentakts“.
der Wochedentwurden rund 333.868 US-Dollar in neun Transaktionen auf vier Blockchains – Ethereum, Arbitrum, Base und BSC – abgezogen. Laut dem offiziellen Untersuchungsbericht gingen keine Kundengelder verloren; die drei betroffenen Wallets gehörten dem ZetaChain-Team.
Der Angreifer nutzte eine Sicherheitslücke im GatewayEVM-tracdurch „beliebige Aufrufe“ aus. Da dem Gateway eine strikte Sperrliste fehlte, konnte der Hacker es anweisen, Token-Zuschüsse zu übertragen, die von den Team-Wallets festgelegt worden waren.
Der Hacker finanzierte drei Tage vor dem Angriff Wallets über Tornado Cash , indem er die Wallet eines Opfers imitierte.
ZetaChain räumte ein, dass die Sicherheitslücke bereits zuvor über sein Bug-Bounty-Programm gemeldet worden war, die ersten Meldungen jedoch ignoriert wurden. Das Protokoll hat daraufhin kettenübergreifende Transaktionen vorübergehend ausgesetzt und veröffentlicht einen Patch, um den riskanten Code zu deaktivieren.
Weitere Ethereum Sicherheitslücken, die GoPlus Security in den letzten 48 Stundendent, umfassen einen On-Chain-Aggregator-trac, der aufgrund fehlender Zugriffskontrollen einen Verlust von rund 983.000 US-Dollar verursachte; einen nicht autorisierten Drittanbieter-Tresor, der mit TradingProtocol verbunden war und ebenfalls aufgrund fehlender Berechtigungsprüfungen einen Verlust von rund 398.000 US-Dollar verursachte; einen BCB-trac, der aufgrund einer Reentrancy-Schwachstelle einen Verlust von rund 39.800 US-Dollar verursachte; und einen QNT-Asset-trac, der aufgrund einer Anywhere-Call-Schwachstelle einen Verlust von rund 124.900 US-Dollar verursachte.
Cryptopolitan berichtet, dass DeFi im April Rekordwerte erreicht haben und damit die kombinierten Statistiken der ersten drei Monate des Jahres übertroffen haben.
Angesichts der zunehmenden Verluste in jüngsten Fällen bahnt sich ein epischer Showdown an, in dem Hacker und Entwickler KI mit KI bekämpfen. Da nun auch Mythos von Anthropic und andere in den Fokus rücken, scheint KI Hackern in die Hände zu spielen, und Entwicklern bleibt keine andere Wahl, als KI zu ihrer Verteidigung einzusetzen
