Bugs em Contratos Inteligentes Dranaram Criptomoedas de Bilhões de Dólares. Morpheus pode ser a primeira IA já criada para evitar isso.

Vamos começar com um número que deixará todos os desenvolvedores de criptomoedas desconfortáveis.
$3,8 bilhões.
A quantia de dinheiro que foi roubada por exploits de contratos inteligentes em protocolos de criptomoedas em 2022 é ainda maior! Não quebras de mercado. Não rug pulls. Vulnerabilidades de código. Linhas de Solidity que fizeram coisas que os autores não pretendiam foram encontradas por um atacante antes mesmo dos desenvolvedores que as escreveram.
A ponte Wormhole é de $320 milhões. Uma condição de validação inválida foi encontrada.
A ponte do Ronin é de $625 milhões. Comprometimento de chave privada, devido a decisões tomadas na arquitetura do contrato.
Euler Finance. $197 milhões. Uma vulnerabilidade de reentrância que passou por várias auditorias.
Todos esses projetos foram desenvolvidos de forma inteligente. Auditores de segurança profissionais. Testes extensivos. E bilhões mais perdidos!
Estou refletindo sobre o "como" e o "porquê" dessa ocorrência contínua. Acho cada vez mais que, quanto mais penso, mais fica claro que a resposta está em um lugar desconfortável.
Há uma limitação humana na segurança dos contratos inteligentes.
É sobre o que quero falar.
Uma grande aplicação DeFi pode exigir de 10.000 a 50.000 linhas de código Solidity. Relações entre vários contratos. Entradas incomuns que ocorrem apenas em combinações e/ou ordens incomuns. Ataques que envolvem mais do que apenas o código, mas também o que há nele para o atacante.
Auditores humanos estão OK. Os melhores são realmente excepcionais.
No entanto, humanos se cansam. Humanos perdem coisas quando estão pressionados pelo tempo! Eles podem entender bem o que o código faz, sem imaginar todos os ataques possíveis que poderiam ser feitos contra ele.
A parte que realmente me preocupa é esta.
A maioria dos bugs de contratos inteligentes não eram zero-days de ponta, mas sim vulnerabilidades bastante triviais de descobrir. Na maioria deles, eram documentadas há anos e conhecidas por padrões de vulnerabilidade como reentrância, estouro de inteiro, falhas no controle de acesso.
Padrões conhecidos. Soluções conhecidas. Repetidamente, e a um custo enorme, não eram vistas por revisores humanos.
Não é uma questão de talento. É um problema de escala e consistência.
Não é prático para humanos memorizarem todos os padrões de vulnerabilidade conhecidos e, ao mesmo tempo, investigarem novos padrões de código. Não é para isso que somos feitos, processamento paralelo.
IA é.
É aqui que Morpheus realmente me envolve.
Morpheus não é um assistente de IA de propósito geral, é apenas um que acontece de saber um pouco de Solidity. Está sendo desenvolvido como um especialista em Engenheiro de Contratos Inteligentes com o único objetivo de conhecer quais vulnerabilidades existem, como elas são aplicadas em um ataque e o “como fazer” das melhores práticas, além de inúmeras ocorrências de como o código de criptomoedas foi explorado ao longo dos anos.
Na maior parte do tempo, essa especialidade não é tão bem compreendida quanto deveria.
Da mesma forma que uma revisão de contrato inteligente pode usar modelos de IA geral, é como ter um cirurgião geral gênio realizando uma cirurgia cerebral. Eles podem detectar problemas facilmente visíveis. No entanto, o nível de reconhecimento de padrões que é desenvolvido por especialização e anos de treinamento em milhares de casos de vulnerabilidades, post-mortems de ataques e pesquisas de segurança é diferente.
Um modelo especialista não só conhece as ações do código, mas também suas intenções. Sabe o que o código pode ser feito para fazer por um indivíduo adversário.
A diferença entre revisão de código e revisão de segurança.
Mas há algumas limitações das quais preciso ser honesto.
Ferramentas de segurança de IA são tão boas quanto seus dados de treinamento. Se Morpheus for treinado usando um padrão de vulnerabilidade histórica na maior parte do tempo, será muito eficaz na detecção de vetores de ataque conhecidos. Novos tipos de ataque são mais difíceis porque ainda não estão documentados, pois ainda não foram executados.
Não se esqueça da questão da confiança. Não é surpresa que desenvolvedores de contratos inteligentes sejam céticos em relação a novas ferramentas de segurança. As consequências de um falso negativo (quando uma vulnerabilidade não é detectada) podem ser espetaculares. Fricção e frustração dos desenvolvedores são o custo de falsos positivos marcando código seguro como inseguro.
Levará algum tempo para construir a confiança dos desenvolvedores nas ferramentas de segurança de IA. Isso leva tempo.
Depois, há o problema de adaptação adversarial. À medida que a segurança de IA se torna a norma, também o serão os atacantes. Eles buscarão padrões que não são detectados pelos modelos de IA. Segurança é sempre uma corrida armamentista e trazer IA para a defesa não para essa corrida, apenas muda o que eles estão otimizando.
Mas Morpheus não pode ser considerado inútil por causa disso. Proposta de valor específica.
Hackers de contratos inteligentes não serão totalmente erradicados por Morpheus. O que ele pode fazer é dificultar o envio de código obviamente vulnerável de forma consistente, identificar padrões recorrentes e ajudar a remover o tempo que os auditores humanos gastam com riscos conhecidos, permitindo que eles concentrem seu tempo escasso nos novos riscos que sempre exigem julgamento humano.
Isso é bastante significativo.
$3,8 bilhões em 2022. Se 20% dessas vulnerabilidades fossem descobertas com antecedência e permanecessem nas carteiras dos usuários em vez de endereços de atacantes, seriam $760 milhões que permanecem nas carteiras dos usuários.
O desafio para o ecossistema OpenLedger é se Morpheus consegue estabelecer sua reputação e confiança dos desenvolvedores e se tornar uma etapa obrigatória no processo de desenvolvimento de contratos inteligentes, ao invés de uma opcional.
Quando atingir esse ponto, será uma infraestrutura no sentido mais literal.
Aquela que não é vista quando está em serviço e que é desastrosa quando não está.
Você foi pessoalmente afetado por um hack ou contrato inteligente explorado? O que você acha que uma ferramenta de segurança de IA poderia ter feito para evitar isso?