Компания a16z crypto опубликовала исследование, которое выявило новую угрозу для сектора децентрализованных финансов: искусственный интеллект (ИИ) уже способен автономно находить и воспроизводить уязвимости в смарт-контрактах. В ходе экспериментов с open-source ИИ-агентом успешность атак на известные сценарии манипуляции ценами достигала 70%, когда агенту предоставляли структурированные знания о типовых уязвимостях.
Как отмечается в отчете, традиционная модель точечных аудитов более не работает. ИИ способен непрерывно тестировать различные пути атаки, не дожидаясь следующей запланированной проверки, что существенно увеличивает разрыв во времени между обнаружением и эксплуатацией брешей. Асимметрия смещается в пользу атакующего: для успеха ему нужна всего одна рабочая лазейка, в то время как защитнику необходимо обезопасить все возможные векторы атак.
Одновременная серия инцидентов на Ethereum в течение последних 48 часов подтверждает эти опасения. По данным GoPlus Security, было взломано четыре отдельных контракта, а общий ущерб превысил 1,5 миллиона долларов. В одном из крупных инцидентов было украдено около 333 868 долларов через ZetaChain, где злоумышленник использовал уязвимость в контракте GatewayEVM, совершая внесенные в белый список вызовы. Примечательно, что эта уязвимость была ранее отклонена как угроза при подаче через программу bug bounty.
Исследование a16z также подчеркивает опасность композиционности DeFi. Уязвимость в относительно изолированном контракте может стать катализатором системной аварии в целой сети взаимосвязанных протоколов, мостов и механизмов ликвидности. ИИ-агенты на машинной скорости оценивают, нарушаются ли предположения системы, не разделяя неудачи на «основные» и «периферийные».
