Серия атак на основную сеть Ethereum , приведшая к убыткам в размере более 1,5 миллиона долларов, усугубилась новыми исследованиями, которые показывают, что агенты искусственного интеллекта (ИИ) теперь могут автономно обнаруживать и использовать уязвимости в протоколах децентрализованных финансов.
Компания GoPlus Security, специализирующаяся на информационной безопасности, сообщила о взломе четырех отдельныхtracвсего за 48 часов, закончившихся 29 апреля. Компания предупредила, что хакеры, использующие искусственный интеллект, становятся все более точными и быстрыми.
А разработчикам смарт-tracDeFi некуда обратиться, кроме как к искусственному интеллекту, чтобы решить проблемы, которые сам же и породил ИИ.
Действительно ли ИИ способен самостоятельно взломать DeFi ?
Компания a16z crypto протестировала готовый ИИ-агент на 20 случаях манипулирования ценамиdenttractrac tractracEthereumи обнаружила, что при наличии только адреса контрактабазовых инструментов ИИ удалось использовать уязвимость лишь в 10% случаев. и обнаружила, что при наличии только адреса контрактабазовых инструментов ИИ удалось использовать уязвимость лишь в 10% случаев. tractrac tractracи обнаружила, что при наличии только адреса контрактабазовых инструментов ИИ удалось использовать уязвимость лишь в 10% случаев. и обнаружила, что при наличии только адреса контрактабазовых инструментов ИИ удалось использовать уязвимость лишь в 10% случаев.
Однако, когда исследователи предоставили агенту доступ к структурированным знаниям о распространенных схемах атак, таких как эксплойты для пожертвований в хранилище и манипулирование пулами автоматизированных маркет-мейкеров (AMM), показатель успешности подскочил до 70%.
Исследователи отметили, что, хотя ИИ очень хорошо находит ошибки, иногда он испытывает трудности со сложными многоэтапными атаками. Один из агентов даже попытался «выйти» из тестовой среды,tracсекретный ключ для просмотра будущих данных блоков.
Компания Anthropic недавно анонсировала новую модель искусственного интеллекта под названием «Claude Mythos Preview». Компания заявила, что эта модель может автономно находить и создавать рабочие эксплойты для уязвимостей нулевого дня в основных операционных системах и веб-браузерах.
До появления Mythos Previewу более старых моделей вероятность успеха при написании эксплойтов была «практически нулевой». Компания также подтвердила, что те же улучшения, которые делают модель эффективной в устранении уязвимостей, делают её эффективной и в их эксплуатации.
Получив доступ к API транзакций Etherscan, агент обнаружил реальные транзакции, совершенные в ходе прошлых атак, и провел их обратное проектирование для написания собственного эксплойт-кода.
Какой ущерб был нанесен в результате взлома ZetaChain?
Компания GoPlus Security выявила четыре отдельныхtracв Ethereum в течение 48 часов, закончившихся 29 апреля. Совокупный ущерб превысил 1,5 миллиона долларов. Компания охарактеризовала нынешние темпы атак с использованием ИИ как «эпоху, когда обратный отсчет идет каждую секунду».
неделиdentбыло украдено около 333 868 долларов США в результате девяти транзакций на четырех блокчейнах, включая Ethereum, Arbitrum, Base и BSC. В официальном отчете ZetaChain по итогам инцидента говорится, что средства пользователей не были потеряны; три затронутых кошелька принадлежали команде ZetaChain.
Злоумышленник воспользовался функцией вtracGatewayEVM, используя «произвольные вызовы». Шлюз не имел строгого списка заблокированных устройств, что позволило хакеру дать указание переводить токены в пределах лимитов, установленных командными кошельками.
За три дня до атаки хакер пополнил кошельки через Tornado Cash , имитируя кошелек жертвы.
ZetaChain признала, что об уязвимости сообщалось ранее в рамках программы вознаграждения за обнаружение ошибок, но первоначальные сообщения были проигнорированы. С тех пор протокол приостановил межсетевые транзакции и выпускает патч для отключения рискованного кода.
Среди других уязвимостей EthereumdentGoPlus Security за последние 48 часов, можно отметитьtracагрегатора в блокчейне, в результате которого было потеряно около 983 000 долларов из-за отсутствия контроля доступа; несанкционированное хранилище третьих лиц, связанное с TradingProtocol, в результате которого было потеряно около 398 000 долларов также из-за отсутствия проверок разрешений;tracBCB, в результате которого было потеряно около 39 800 долларов из-за уязвимости повторного входа; иtracактива QNT, в результате которого было потеряно около 124 900 долларов из-за уязвимости произвольного вызова.
Cryptopolitan сообщает, что DeFi за апрель достигли рекордного уровня, превысив суммарную статистику за первые три месяца года.
В связи с ростом числа убытков в последних делах, назревает грандиозное противостояние, в котором хакеры и разработчики будут бороться с ИИ с помощью ИИ. С появлением Mythos от Anthropic и других компаний, похоже, что ИИ вооружает хакеров, и у разработчиков не останется иного выбора, кроме как использовать ИИ для самозащиты
