ИИ-аудитор обнаруживает ошибку в смарт-контракте стоимостью 2M долларов перед запуском

Уязвимость, которая никогда не достигла основной сети

За несколько недель до запуска ведущего децентрализованного кредитного протокола ИИ-аудитор обнаружил уязвимость, которая позволила бы злоумышленникам тихо выводить средства.

Недостаток был прост по дизайну, но серьезен по воздействию. Функция вывода округляла крошечные транзакции до "нуля" в балансах пользователей, при этом все еще отправляя токены из резервов. Повторяя это действие в автоматическом цикле, злоумышленник мог бы полностью опустошить пул - почти 2 миллиона долларов в общей заблокированной стоимости (TVL), даже с нулевым балансом.

Если бы ошибка попала в основную сеть, последствия были бы немедленными. Выводы средств не удались бы, кредитование остановилось бы, а вкладчики обнаружили бы, что резервы больше не соответствуют депозитам. Сказать, что последствия были бы плохими, было бы преуменьшением.

Вместо этого уязвимость была исправлена до развертывания. Открытие пришло не от человеческой команды, а от Sherlock AI, части волны автоматизированных систем, которые сейчас входят в процесс обеспечения безопасности.

Как обычно работает аудит смарт-контрактов

Аудиты смарт-контрактов - это стандартный предзапускной ритуал в DeFi. Протоколы нанимают инженеров-людей для проверки кода, функция за функцией, в поисках слабых мест. Эти аудиты предотвратили бесчисленные уязвимости от попадания в производство, но они ограничены: дороги, своевременны и в конечном итоге зависят от человеческого внимания.

С ростом размера и сложности протоколов (и миллиардами в депозитах пользователей под угрозой), индустрия была вынуждена искать новые подходы.

Появление ИИ-аудитора

Системы ИИ подходят к проблеме иначе. Они могут непрерывно сканировать код, отмечая математические особенности, логические ошибки и упущенные крайние случаи на машинной скорости. Они не заменяют человеческих рецензентов, но добавляют еще один набор глаз, которые никогда не устают и могут работать с каждым новым коммитом.

Ошибка кредитования на 2 миллиона долларов иллюстрирует ценность этой модели. То, что выглядело как безобидное округление, на практике могло бы быть катастрофическим. Система ИИ отметила это до того, как у злоумышленников появился шанс.

Sherlock как пример для изучения

Sherlock была одной из первых компаний, которая операционализировала аудит с помощью ИИ. Ее система создала структурированный отчет об ошибке кредитования: где появилась ошибка, как ее можно было использовать и как могли бы выглядеть финансовые последствия.

"Обнаружение этой проблемы показало, что ИИ-аудиторы уже меняют результаты", - сказал член команды Sherlock. "Они больше не теоретические. Они выявляют ошибки, которые человеческие аудиты могут не заметить".

В то время как Sherlock предоставил пример, более широкая история касается появления новой категории. Так же, как профессиональные аудиторские фирмы когда-то стали стандартом для проектов DeFi, ИИ-аудиторы начинают занимать свое место в процессе.

Почему индустрия должна обратить внимание

DeFi уже потеряла миллиарды из-за ошибок и логических недостатков. Каждый инцидент не только опустошает кошельки, но и подрывает доверие к блокчейну в целом. Обещание ИИ-аудиторов - не совершенство, а дополнительная защита - способ выявлять ошибки в масштабе и снижать вероятность проскальзывания опасных уязвимостей.

Сочетание человеческого обзора и надзора ИИ вскоре может стать новой нормой. Открытие на 2 миллиона долларов служит одним из первых публичных доказательств этого сдвига.

Взгляд в будущее

Ошибка никогда не коснулась основной сети, но она может отметить точку перегиба. Для протоколов ИИ-аудиторы уже дают ощутимые результаты, предотвращая потери и меняя то, как команды думают о безопасности перед запуском.

Этот момент может запомниться меньше из-за самой ошибки, чем из-за того, что она представляет: появление ИИ-аудиторов как новой категории в безопасности Web3.

О Sherlock

Sherlock описывает себя как партнера по безопасности полного жизненного цикла для смарт-контрактов, объединяющего исследователей, состязательное тестирование, системы ИИ и финансовое покрытие. Компания поддерживает протоколы от сборки до запуска и текущих обновлений, рассматривая безопасность как непрерывный процесс, а не как единичное событие. На прошлой неделе Sherlock добавил Sherlock AI в свой набор, представив автоматизированный обзор кода, предназначенный для усиления человеческих аудитов с постоянным мониторингом.

:::tip Эта история была опубликована как пресс-релиз Btcwire в рамках бизнес-блоггинговой программы HackerNoon. Проводите собственное исследование перед принятием любого финансового решения.

:::

\ \

\n