Lỗi hợp đồng thông minh đã rút hết hàng tỷ đô la trong crypto. Morpheus có thể là AI đầu tiên được tạo ra để ngăn chặn điều đó.

Hãy bắt đầu với một con số khiến tất cả các nhà phát triển crypto cảm thấy không thoải mái.
3,8 tỷ đô la.
Số tiền bị đánh cắp bởi các lỗ hổng hợp đồng thông minh trên các giao thức crypto trong năm 2022 còn lớn hơn nữa! Không phải là sụp đổ thị trường. Không phải là rug pull. Các lỗ hổng trong mã nguồn. Các dòng Solidity thực hiện những điều mà tác giả không dự định đã bị kẻ tấn công phát hiện trước các nhà phát triển đã viết chúng.
Cầu nối Wormhole là 320 triệu đô la. Chỉ một điều kiện xác thực không hợp lệ được phát hiện.
Cầu của Ronin là 625 triệu đô la. Thủ phạm là mất khoá riêng, do các quyết định về kiến trúc của hợp đồng.
Euler Finance. 197 triệu đô la. Một lỗ hổng reentrancy vượt qua nhiều cuộc kiểm tra.
Tất cả các dự án này đều được phát triển một cách thông minh. Các kiểm toán viên bảo mật chuyên nghiệp. Thử nghiệm kỹ lưỡng. Và hàng tỷ đô la nữa đã mất!
Tôi đang suy nghĩ về "cách" và "lý do" của việc này tiếp tục xảy ra. Tôi nghĩ ngày càng nhiều, chính điều này khiến câu trả lời trở nên không thoải mái.
Có một hạn chế về con người trong việc đảm bảo an toàn cho hợp đồng thông minh.
Dưới đây là ý tôi.
Một ứng dụng DeFi lớn có thể yêu cầu từ 10.000 đến 50.000 dòng mã Solidity. Mối quan hệ giữa nhiều hợp đồng. Các đầu vào bất thường chỉ xuất hiện trong các tổ hợp và/hoặc thứ tự bất thường. Các cuộc tấn công không chỉ liên quan đến mã, mà còn liên quan đến những gì lợi ích cho kẻ tấn công.
Các kiểm toán viên con người là ổn. Những người giỏi nhất thực sự xuất sắc.
Tuy nhiên, con người mệt mỏi. Con người mất đi những thứ khi bị ép buộc về thời gian! Họ có thể hiểu rõ mã làm gì, mà không hình dung hết tất cả các cuộc tấn công có thể xảy ra chống lại nó.
Phần thực sự gây vấn đề đối với tôi là điều này.
Hầu hết các lỗi hợp đồng thông minh không phải là zero-day mới nhất, mà là những lỗi khá trivial để phát hiện. Trong phần lớn, chúng đã được ghi nhận trong nhiều năm và theo các mẫu lỗ hổng đã biết như reentrancy, tràn số nguyên, thất bại trong kiểm soát truy cập.
Các mẫu đã biết. Các giải pháp đã biết. Nhiều lần, và với chi phí lớn, chúng không được phát hiện bởi bất kỳ ai trong nhóm kiểm tra con người.
Đây không phải là vấn đề về tài năng. Đó là vấn đề về quy mô và tính nhất quán.
Không thực tế để con người có thể ghi nhớ tất cả các mẫu lỗ hổng đã biết và đồng thời điều tra các mẫu mã mới. Đây không phải là điều chúng ta được thiết kế để làm, xử lý song song.
AI thì có.
Đây là nơi Morpheus thực sự thu hút tôi.
Morpheus không phải là một trợ lý AI đa năng, nó chỉ là một AI biết một chút về Solidity. Nó đang được phát triển như một chuyên gia của Kỹ sư Hợp đồng Thông minh với mục đích duy nhất là hiểu rõ các lỗ hổng, cách chúng được khai thác và các “cách làm” của các thực hành tốt nhất cùng với vô số các trường hợp mã crypto bị khai thác trong nhiều năm.
Phần lớn thời gian, chuyên môn này không được hiểu rõ như nó đáng có.
Cũng giống như việc một mô hình AI chung có thể dùng để xem xét hợp đồng thông minh giống như một bác sĩ phẫu thuật giỏi thực hiện phẫu thuật não. Họ có thể dễ dàng phát hiện các vấn đề rõ ràng. Tuy nhiên, khả năng nhận diện mẫu được phát triển qua chuyên môn và nhiều năm đào tạo dựa trên hàng nghìn ca lỗ hổng, phân tích hậu quả của các cuộc tấn công và nghiên cứu bảo mật là khác biệt.
Một mô hình chuyên gia không chỉ hiểu rõ hành động của mã, mà còn hiểu rõ ý định của nó. Nó biết mã có thể bị làm cho làm những gì bởi một cá nhân đối địch.
Sự khác biệt giữa xem xét mã và xem xét bảo mật.
Nhưng tôi phải thành thật về một số giới hạn.
Các công cụ bảo mật AI chỉ tốt như dữ liệu huấn luyện của chúng. Nếu Morpheus được huấn luyện dựa trên các mẫu lỗ hổng trong quá khứ phần lớn thời gian, nó sẽ rất hiệu quả trong việc phát hiện các vector tấn công đã biết. Các loại tấn công mới khó hơn vì chúng chưa được ghi nhận, vì chúng chưa được thực thi.
Đừng quên vấn đề niềm tin. Không có gì ngạc nhiên khi các nhà phát triển hợp đồng thông minh còn hoài nghi về các công cụ bảo mật mới. Hậu quả của một false negative (khi không phát hiện ra lỗ hổng) có thể rất lớn. Mâu thuẫn và thất vọng của nhà phát triển là cái giá phải trả cho các false positive khiến mã an toàn bị đánh dấu là không an toàn.
Sẽ mất một thời gian để xây dựng lòng tin của nhà phát triển vào các công cụ bảo mật AI. Điều đó cần thời gian.
Rồi còn vấn đề thích nghi với kẻ địch. Khi bảo mật AI trở thành tiêu chuẩn, thì kẻ tấn công cũng sẽ theo đó. Họ sẽ tìm kiếm các mẫu mà các mô hình AI không phát hiện ra. Bảo mật luôn là cuộc chạy đua vũ trang, và việc đưa AI vào phòng thủ không dừng lại cuộc đua đó, chỉ là thay đổi những gì chúng tối ưu hóa.
Nhưng Morpheus không thể bị coi là vô dụng vì tất cả những điều đó. Giá trị đặc thù.
Các cuộc tấn công hợp đồng thông minh sẽ không hoàn toàn bị loại bỏ bởi Morpheus. Những gì nó có thể làm là làm cho việc phát hiện mã dễ bị tổn thương rõ ràng hơn trở nên khó khăn hơn, xác định các mẫu lặp lại và giúp giảm bớt thời gian các kiểm toán viên con người phải dành cho các rủi ro đã biết, thay vào đó dành thời gian quý báu của họ cho các rủi ro mới đều cần đến phán đoán của con người.
Điều đó khá quan trọng.
3,8 tỷ đô la trong năm 2022. Nếu 20% các lỗ hổng đó được phát hiện trước và còn nằm trong ví người dùng thay vì địa chỉ của kẻ tấn công, thì đó là 760 triệu đô la còn lại trong ví người dùng.
Thách thức của hệ sinh thái OpenLedger là liệu Morpheus có thể xây dựng uy tín và niềm tin của các nhà phát triển, và trở thành bước bắt buộc trong quá trình phát triển hợp đồng thông minh thay vì là một bước tùy chọn.
Khi đạt được điều đó, nó trở thành hạ tầng theo nghĩa đen.
Loại hạ tầng không ai thấy khi nó hoạt động, nhưng lại gây thảm họa khi không có.
Bạn đã từng bị ảnh hưởng cá nhân bởi một vụ hack hoặc hợp đồng thông minh bị khai thác chưa? Bạn nghĩ công cụ bảo mật AI có thể đã làm gì để ngăn chặn điều đó?