Ошибки в смарт-контрактах истощили криптовалюту на миллиарды долларов. Morpheus может стать первым ИИ, созданным для предотвращения этого.

Начнем с числа, которое сделает всех крипто-разработчиков некомфортными.
3,8 миллиарда долларов.
Сумма денег, украденных в результате уязвимостей смарт-контрактов в крипто-протоколах в 2022 году, даже больше! Не рыночные крахи. Не "rug pulls". Уязвимости в коде. Строки Solidity, которые делали то, что авторы не планировали, были найдены злоумышленником раньше, чем разработчики, их написавшие.
Мост Wormhole — 320 миллионов долларов. Обнаружено одно недопустимое условие проверки.
Мост Ronin — 625 миллионов долларов. Уязвимость из-за компрометации приватного ключа, вызванная решениями, принятыми в архитектуре контракта.
Euler Finance — 197 миллионов долларов. Уязвимость повторного вызова, прошедшая несколько аудитов.
Все эти проекты были разработаны умно. Профессиональные аудиторы по безопасности. Обширное тестирование. И все равно потеряно миллиарды!
Я размышляю о "как" и "почему" этого продолжающегося явления. Чем больше я думаю, тем больше кажется, что ответ находится в неудобной области.
Существует человеческое ограничение в безопасности смарт-контрактов.
Вот что я имею в виду.
Большое DeFi-приложение может требовать от 10 000 до 50 000 строк кода Solidity. Взаимосвязи между несколькими контрактами. Необычный ввод, который происходит только в необычных комбинациях и/или порядке. Атаки, которые затрагивают не только код, но и то, что в нем для злоумышленника.
Человеческие аудиторы — это хорошо. Лучшие из них действительно выдающиеся.
Однако люди устают. Люди теряют вещи, когда их торопят! Они могут хорошо понять, что делает код, не представляя все возможные атаки, которые против него можно осуществить.
Настоящая проблема для меня — это вот что.
Большинство ошибок в смарт-контрактах не были передовыми нулевыми днями, а скорее были довольно тривиальными для обнаружения. В большинстве случаев это было задокументировано годами и известно по паттернам уязвимостей, таким как повторный вызов, переполнение целых чисел, сбои в контроле доступа.
Известные паттерны. Известные решения. Многократно, и за огромные деньги, это не замечалось ни одним человеком-ревьюером.
Это не проблема таланта. Это проблема масштаба и последовательности.
Невозможно для человека запомнить все известные паттерны уязвимостей и одновременно исследовать новые паттерны кода. Это не то, для чего мы созданы — параллельная обработка.
Искусственный интеллект — да.
Здесь Morpheus действительно начинает меня привлекать.
Morpheus — не универсальный ИИ-помощник, он просто знает немного Solidity. Он разрабатывается как эксперт по смарт-контрактам с единственной целью — быть осведомленным о том, какие уязвимости существуют, как они применяются в атаках и как лучше всего избегать их, а также о многочисленных случаях эксплуатации криптокода за годы.
Большинство времени эта специализация не так хорошо понимается, как должна быть.
Так же, как обзор смарт-контракта можно сравнить с использованием общих моделей ИИ — это похоже на то, как гениальный терапевт-хирург делает операцию на мозге. Они могут легко обнаружить очевидные проблемы. Однако уровень распознавания паттернов, который развивается через специализацию и годы обучения на тысячах случаев уязвимостей, постмортемов атак и исследований безопасности, — это другое.
Модель-специалист не только знает действия кода, но и его намерения. Она понимает, что код может быть сделан для выполнения злоумышленником.
Разница между обзором кода и оценкой безопасности.
Но есть некоторые ограничения, о которых я должен честно сказать.
Инструменты ИИ для безопасности так же хороши, как и их обучающие данные. Если Morpheus обучать на исторических паттернах уязвимостей большую часть времени, он будет очень эффективен в обнаружении известных векторов атак. Новые типы атак сложнее, потому что они еще не задокументированы и не были реализованы.
Не забывайте о вопросе доверия. Не удивительно, что разработчики смарт-контрактов скептически относятся к новым инструментам безопасности. Последствия ложного отрицания (когда уязвимость не обнаружена) могут быть катастрофическими. Трение и разочарование разработчиков — это цена ложных срабатываний, когда безопасный код ошибочно помечается как опасный.
Потребуется время, чтобы завоевать доверие разработчиков к инструментам ИИ для безопасности. Это занимает время.
Также есть проблема адаптации противодействия. По мере того, как ИИ для безопасности становится нормой, появятся и злоумышленники. Они будут искать паттерны, которые не обнаруживаются моделями ИИ. Безопасность — это всегда гонка вооружений, и внедрение ИИ в защиту не прекращает эту гонку, а лишь меняет то, на что они нацелены.
Но нельзя сказать, что Morpheus бесполезен в этом. Конкретное ценностное предложение.
Хакерские атаки на смарт-контракты не будут полностью искоренены Morpheus. Что он может — это усложнить постоянное выпускание явно уязвимого кода, выявлять повторяющиеся паттерны и помогать освободить время человеческих аудиторов, чтобы они не тратили его на известные риски, а сосредоточились на новых угрозах, требующих человеческого суждения.
Это очень важно.
3,8 миллиарда долларов в 2022 году. Если бы 20% этих уязвимостей были обнаружены заранее и оставались бы в кошельках пользователей, а не у злоумышленников, это означало бы 760 миллионов долларов, оставшихся у пользователей.
Задача экосистемы OpenLedger — сможет ли Morpheus зарекомендовать себя и завоевать доверие разработчиков, стать обязательным этапом в процессе разработки смарт-контрактов, а не опциональным.
Когда он достигнет этого, это будет инфраструктура в самом буквальном смысле.
Такая, которая не видна, когда она работает, и катастрофична, когда она не работает.
Вы лично сталкивались с взломом или эксплуатированным смарт-контрактом? Что, по вашему мнению, мог бы сделать ИИ-инструмент безопасности, чтобы предотвратить это?