AI 審計員在上線前發現價值 200 萬美元的智能合約漏洞

一個從未到達主網的漏洞

在一個領先的去中心化借貸協議即將推出的幾週前，一個 AI 審計員標記了一個漏洞，這個漏洞本可能允許攻擊者悄悄地竊取資金。

這個缺陷設計簡單但影響嚴重。提款功能將用戶餘額中的微小交易四捨五入為"零"，同時仍從儲備中發送代幣。通過在自動循環中重複此操作，攻擊者可能已經完全耗盡資金池 - 即使餘額為零，也幾乎有 200 萬美元的總鎖定價值 (TVL)。

如果這個漏洞進入主網，後果將會立即顯現。提款將失敗，借貸將停滯，存款人將發現儲備不再與存款匹配。說這些影響會很糟糕，這絕對是輕描淡寫。

相反，這個漏洞在部署前就被修補了。這一發現不是來自人類團隊，而是來自 Sherlock AI，它是現在進入安全流程的自動化系統浪潮的一部分。

智能合約審計通常如何運作

智能合約審計是 DeFi 中標準的發布前儀式。協議僱用人類工程師逐個功能地審查代碼，尋找弱點。這些審計已經阻止了無數漏洞進入生產環境，但它們受到限制：昂貴、耗時，並且最終依賴於人類的專注力。

隨著協議規模和複雜性的增長（以及數十億用戶存款的風險），行業被迫尋找新的方法。

AI 審計員的出現

AI 系統以不同的方式解決問題。它們可以持續掃描代碼，以機器速度標記數學怪癖、邏輯錯誤和被忽視的邊緣情況。它們不會取代人類審查員，但它們增加了另一雙永不疲倦且可以在每次新提交時運行的眼睛。

這個價值 200 萬美元的借貸漏洞說明了這種模式的價值。看似無害的四捨五入計算在實踐中可能是災難性的。一個 AI 系統在攻擊者有機會之前就標記了它。

Sherlock 作為案例研究

Sherlock 一直是最早將 AI 審計操作化的公司之一。其系統對借貸漏洞產生了結構化報告：錯誤出現在哪裡，如何被利用，以及財務後果可能是什麼樣子。

"發現這個問題表明 AI 審計員已經在改變結果，"一位 Sherlock 團隊成員說。"它們不再是理論上的了。它們正在發現人類審計可能不會發現的錯誤。"

雖然 Sherlock 提供了這個例子，但更廣泛的故事是關於一個新類別的到來。就像專業審計公司曾經成為 DeFi 項目的標準一樣，AI 審計員正開始在這個過程中佔據自己的位置。

為什麼行業應該關注

DeFi 已經因漏洞和邏輯缺陷損失了數十億美元。每一次事件不僅清空錢包，還侵蝕了對整個區塊鏈的信任。AI 審計員的承諾不是完美，而是額外的防禦 - 一種大規模發現錯誤並減少有害漏洞滲透機會的方法。

人類審查和 AI 監督的結合可能很快成為新常態。這個價值 200 萬美元的發現作為這種轉變的首批公開證據之一。

展望未來

這個漏洞從未觸及主網，但它可能標誌著一個轉折點。對於協議來說，AI 審計員已經產生了切實的結果，防止了損失，並重塑了團隊對發布前安全的思考方式。

這一刻可能被記住的不是漏洞本身，而是它所代表的：AI 審計員作為 Web3 安全中的一個新類別的出現。

關於 Sherlock

Sherlock 將自己描述為智能合約的全生命週期安全合作夥伴，結合研究人員、對抗性測試、AI 系統和財務覆蓋。該公司支持協議從構建到發布和持續更新，將安全視為一個連續的過程而非單一事件。上週，Sherlock 將 Sherlock AI 添加到其套件中，引入了自動化代碼審查，旨在通過持續監控來加強人類審計。

:::tip 這個故事是由 Btcwire 作為新聞稿在 HackerNoon 的商業博客計劃下發布的。在做出任何財務決定之前，請自行研究。

:::

\ \

\n