Un grup de cercetători de la Universitatea College London şi Universitatea din Sydney a creat un program informatic capabil să identifice şi să exploateze vulnerabilităţile din contractele inteligente scrise în Solidity, limbajul utilizat în reţele blockchain precum Ethereum sau Binance Smart Chain.
Sistemul automatizat, numit A1, a demonstrat o eficienţă remarcabilă, generând cod executabil care ar putea fi folosit pentru a fura criptomonede autonom, conform unor surse relevante.
A1, programul informatic care generează cod de atac eficient şi profitabil
Spre deosebire de alte instrumente informatice orientate spre securitate, A1 nu se limitează la identificarea potenţialelor vulnerabilităţi. Acest program poate crea direct exploatări funcţionale, testate în medii simulate din blockchain.
Conform unui studiu publicat recent într-un articol ştiinţific, A1 a fost testat pe 36 de contracte inteligente reale şi a avut un succes de 63% în generarea de exploatări viabile.
Programul A1 utilizează modele informatice dezvoltate de companii precum OpenAI (o3 şi o3-pro), Google (Gemini), DeepSeek şi Alibaba (Qwen).
Modelele OpenAI s-au dovedit cele mai eficiente: în cinci interacţiuni, o3-pro a identificat vulnerabilităţi şi a optimizat profiturile în 88,5% din cazuri, generând profituri potenţiale de până la 8,5 milioane de dolari pe contract exploatat.
A1 include module pentru extragerea codului sursă, iniţializarea parametrilor, interpretarea funcţiilor contractului, testarea codului şi evaluarea profitului potenţial.
Astfel, sistemul funcţionează ca un sistem automatizat complex, capabil să înţeleagă, să evalueze şi să atace un contract inteligent fără intervenţie umană.
Costuri reduse, riscuri legale mari şi o problemă de asimetrie
Costul pentru fiecare experiment variază între 0,01 şi 3,59 dolari, ceea ce înseamnă că o exploatare de 100.000 de dolari ar putea susţine mii de teste suplimentare, în timp ce recompensele pentru descoperirea vulnerabilităţilor au o valoare mult mai mică comparativ.
Autorii studiului subliniază diferenţa mare de eficienţă între atacatori şi apărători: dacă atacatorii folosesc inteligenţa artificială, iar apărătorii metode tradiţionale, costurile şi viteza vor favoriza infractorii.
Cercetătorii recomandă dezvoltarea de protocoale de securitate îmbunătăţite pentru a preveni atacurile înainte ca acestea să fie exploatate.
Modelul actual de securitate cibernetică în Web3 nu este sustenabil, considerându-se că necesită o mai mare responsabilitate a celor care identifică vulnerabilităţile.
În timp ce iniţial cercetătorii au intenţionat să publice A1 ca proiect open-source, această decizie a fost reconsiderată, având în vedere potenţialul său distrugător. Publicitatea codului a fost amânată pentru a se asigura că sunt stabilite principii etice clare.