Los errores en contratos inteligentes han drenado miles de millones de dólares en criptomonedas. Morpheus podría ser la primera IA creada para prevenir eso.

Comencemos con un número que hará que todos los desarrolladores de criptomonedas se sientan incómodos.
3.800 millones de dólares.
¡La cantidad de dinero que fue robada por exploits en contratos inteligentes en protocolos de criptomonedas en 2022 es aún mayor! No son caídas del mercado. No son rug pulls. Vulnerabilidades en el código. Líneas de Solidity que hicieron cosas que los autores no pretendían hacer fueron encontradas por un atacante antes que los desarrolladores que las escribieron.
El puente Wormhole es de 320 millones de dólares. Se encontró una condición de validación inválida.
El puente de Ronin es de 625 millones de dólares. Compromiso de clave privada, debido a decisiones tomadas en la arquitectura del contrato.
Euler Finance. 197 millones de dólares. Una vulnerabilidad de reentrancy que pasó varias auditorías.
Todos estos proyectos fueron desarrollados de manera inteligente. Auditores de seguridad profesionales. Pruebas exhaustivas. ¡Y miles de millones más perdidos!
Estoy reflexionando sobre el "cómo" y el "por qué" de esta ocurrencia continua. Creo cada vez más, cuanto más lo pienso, que la respuesta está en un lugar incómodo.
Hay un problema de limitación humana con la seguridad de los contratos inteligentes.
Esto es lo que quiero decir.
Una gran aplicación DeFi podría requerir entre 10,000 y 50,000 líneas de código Solidity. Relaciones entre varios contratos. Entradas inusuales que solo ocurren en combinaciones y/o órdenes inusuales. Ataques que involucran más que solo el código, también lo que hay en él para el atacante.
Los auditores humanos están bien. Los mejores son realmente excepcionales.
Sin embargo, los humanos se cansan. ¡Pierden cosas cuando tienen prisa! Pueden tener una buena idea de lo que hace el código, sin imaginar todos los ataques posibles que podrían hacerse contra él.
La parte que realmente me preocupa es esta.
La mayoría de los errores en contratos inteligentes no eran zero-days de vanguardia, sino que eran bastante triviales de descubrir. En la mayoría de ellos, se documentaron durante años y patrones de vulnerabilidad conocidos como reentrancy, desbordamiento de enteros, fallos en el control de acceso.
Patrones conocidos. Soluciones conocidas. Repetidamente, y a un costo enorme, no fueron vistos por ningún revisor humano.
No es un problema de talento. Es un problema de escala y consistencia.
No es práctico que los humanos puedan memorizar todos los patrones de vulnerabilidad conocidos y al mismo tiempo investigar nuevos patrones de código. Esto no es para lo que estamos diseñados, procesamiento paralelo.
La IA sí lo es.
Aquí es donde Morpheus realmente me involucra.
Morpheus no es un asistente de IA de propósito general, es solo uno que por casualidad sabe algo de Solidity. Se está desarrollando como un experto en Ingeniero de Contratos Inteligentes con el único propósito de ser conocedor de qué vulnerabilidades existen, cómo se aplican en un ataque y las mejores prácticas, junto con las innumerables ocasiones en que el código cripto ha sido explotado a lo largo de los años.
La mayoría del tiempo, la especialización no se entiende tan bien como debería.
De la misma forma que una revisión de contrato inteligente puede usar modelos de IA general, es como tener a un cirujano general genio realizando una operación cerebral. Podrían detectar problemas fácilmente visibles. Sin embargo, el nivel de reconocimiento de patrones que se desarrolla a través de la especialización y años de entrenamiento en miles de casos de vulnerabilidades, análisis post mortem y investigación en seguridad, es diferente.
Un modelo especializado no solo es consciente de las acciones del código, sino también de sus intenciones. Sabe lo que el código podría hacer por un individuo adversario.
La diferencia entre revisión de código y revisión de seguridad.
Pero hay algunas limitaciones de las que debo ser honesto.
Las herramientas de seguridad de IA son tan buenas como sus datos de entrenamiento. Si Morpheus se entrena usando en la mayoría de las veces un patrón de vulnerabilidad histórico, será muy efectivo para detectar vectores de ataque conocidos. Los nuevos tipos de ataque son más difíciles porque aún no están documentados, porque aún no se han ejecutado.
No olvides el problema de confianza. No es sorprendente que los desarrolladores de contratos inteligentes sean escépticos respecto a nuevas herramientas de seguridad. Las consecuencias de un falso negativo (cuando no se detecta una vulnerabilidad) pueden ser espectaculares. La fricción y frustración del desarrollador son el costo de los falsos positivos que marcan código seguro como inseguro.
Tomará tiempo construir confianza en los desarrolladores para que adopten las herramientas de seguridad de IA. Eso lleva tiempo.
Luego, está el problema de adaptarse de manera adversarial. A medida que la seguridad de IA se vuelve la norma, también lo harán los atacantes. Buscarán patrones que no sean detectados por los modelos de IA. La seguridad siempre es una carrera armamentística y traer IA a la defensa no detiene esa carrera, solo cambia lo que optimizan.
Pero no se puede decir que Morpheus sea inútil por todo eso. Propuesta de valor específica.
Los hacks en contratos inteligentes no serán erradicados por completo con Morpheus. Lo que puede hacer es dificultar el envío de código claramente vulnerable de manera constante, identificar patrones recurrentes y ayudar a eliminar el tiempo que los auditores humanos deben dedicar a los riesgos conocidos y, en cambio, dedicar su escaso tiempo a los nuevos riesgos que todos requieren juicio humano.
Eso es algo bastante importante.
3.800 millones de dólares en 2022. Si el 20% de esas vulnerabilidades se hubieran descubierto con anticipación y permanecieran en las billeteras de los usuarios en lugar de en las direcciones de los atacantes, serían 760 millones de dólares que permanecen en las billeteras de los usuarios.
El desafío para el ecosistema de OpenLedger es si Morpheus puede establecer su reputación y confianza entre los desarrolladores y convertirse en un paso obligatorio en el proceso de desarrollo de contratos inteligentes, en lugar de opcional.
Una vez que llegue allí, es infraestructura en el sentido más literal.
El tipo que no se ve cuando está en servicio y que es desastroso cuando no lo está.
¿Has sido afectado personalmente por un hack o un contrato inteligente explotado? ¿Qué crees que podría haber hecho la herramienta de seguridad de IA para prevenirlo?