ШІ-аудитор виявив помилку в смартконтракті на $2 млн перед запуском

Вразливість, яка ніколи не досягла основної мережі

За кілька тижнів до запуску провідного децентралізованого протоколу кредитування ШІ-аудитор виявив вразливість, яка дозволила б зловмисникам тихо виводити кошти.

Недолік був простим за дизайном, але серйозним за впливом. Функція зняття округлювала крихітні транзакції до "нуля" в балансах користувачів, при цьому все ще відправляючи токени з резервів. Повторюючи цю дію в автоматизованому циклі, зловмисник міг би повністю спустошити пул - майже 2 мільйони доларів загальної заблокованої вартості (TVL), навіть з нульовим балансом.

Якби помилка потрапила в основну мережу, наслідки були б негайними. Зняття коштів не вдалося б, кредитування зупинилося б, а вкладники виявили б, що резерви більше не відповідають депозитам. Сказати, що наслідки були б поганими, було б применшенням.

Натомість експлойт був виправлений перед розгортанням. Відкриття прийшло не від людської команди, а від Sherlock AI, частини хвилі автоматизованих систем, які зараз входять у процес безпеки.

Як зазвичай працює аудит смартконтрактів

Аудити смартконтрактів є стандартним передзапусковим ритуалом у DeFi. Протоколи наймають інженерів-людей для перегляду коду, функція за функцією, у пошуках слабких місць. Ці аудити зупинили незліченні вразливості від потрапляння у виробництво, але вони обмежені: дорогі, своєчасні і в кінцевому рахунку залежать від людської уваги.

З ростом розміру і складності протоколів (і мільярдами депозитів користувачів під загрозою), галузь була змушена шукати нові підходи.

Входить ШІ-аудитор

Системи ШІ підходять до проблеми по-іншому. Вони можуть безперервно сканувати код, позначаючи математичні особливості, логічні помилки та непомічені крайні випадки зі швидкістю машини. Вони не замінюють людських рецензентів, але додають ще одну пару очей, яка ніколи не втомлюється і може працювати з кожним новим коммітом.

Помилка кредитування на 2 мільйони доларів ілюструє цінність цієї моделі. Те, що виглядало як нешкідливий розрахунок округлення, на практиці могло б бути катастрофічним. Система ШІ позначила це до того, як у зловмисників з'явився шанс.

Sherlock як приклад для вивчення

Sherlock був серед перших фірм, які операціоналізували аудит ШІ. Його система створила структурований звіт про помилку кредитування: де з'явилася помилка, як її можна було використати і як міг би виглядати фінансовий наслідок.

"Виявлення цієї проблеми показало, що ШІ-аудитори вже змінюють результати", - сказав член команди Sherlock. "Вони більше не теоретичні. Вони виявляють помилки, які людські аудити можуть не помітити".

Хоча Sherlock надав приклад, ширша історія стосується появи нової категорії. Так само, як професійні аудиторські фірми колись стали стандартом для проектів DeFi, ШІ-аудитори починають займати своє місце в процесі.

Чому галузь повинна звернути увагу

DeFi вже втратив мільярди через помилки та логічні недоліки. Кожен інцидент не тільки спустошує гаманці, але й підриває довіру до блокчейну в цілому. Обіцянка ШІ-аудиторів - не досконалість, а додатковий захист - спосіб виявлення помилок у масштабі та зменшення шансів на проникнення шкідливих вразливостей.

Поєднання людського огляду та нагляду ШІ незабаром може стати новою нормою. Відкриття на 2 мільйони доларів служить одним із перших публічних доказів цього зсуву.

Погляд у майбутнє

Помилка ніколи не торкнулася основної мережі, але вона може позначити точку перегину. Для протоколів ШІ-аудитори вже дають відчутні результати, запобігаючи втратам і змінюючи те, як команди думають про безпеку перед запуском.

Цей момент може запам'ятатися менше через саму помилку, ніж через те, що вона представляє: появу ШІ-аудиторів як нової категорії в безпеці Web3.

Про Sherlock

Sherlock описує себе як партнера з безпеки повного життєвого циклу для смартконтрактів, об'єднуючи дослідників, змагальне тестування, системи ШІ та фінансове покриття. Компанія підтримує протоколи від створення до запуску та поточних оновлень, розглядаючи безпеку як безперервний процес, а не як окрему подію. Минулого тижня Sherlock додав Sherlock AI до свого набору, представивши автоматизований огляд коду, призначений для підкріплення людських аудитів постійним моніторингом.

:::tip Ця історія була опублікована як прес-реліз Btcwire в рамках бізнес-блогінгової програми HackerNoon. Проведіть власне дослідження перед прийняттям будь-якого фінансового рішення.

:::

\ \

\n