DeFi 面临损失上升,因 AI 驱动的攻击不断升级

针对以太坊主网的这一系列攻击导致的损失已超过$1.5 million,而新的研究进一步加剧了这一局面。研究表明,人工智能(AI)代理现在能够自主发现并利用去中心化金融(DeFi)协议中的漏洞。

安全公司 GoPlus Security 表示,截至4月29日过去48小时内,已有4个独立合约被攻破。该公司警告称,配备AI的黑客正变得比以往任何时候都更精准、更迅速。

同时,DeFi 智能合约开发者似乎除了依靠AI来应对AI本身引发的问题之外,没有别的去处。

AI真的能凭借自身能力黑掉DeFi吗?

a16z crypto 测试了一款现成的AI编码代理在以太坊上20起过去的价格操纵事件。结果发现,当只给AI提供合约地址和基础工具时,它成功利用漏洞的概率只有10%

然而,当研究人员让该代理获得关于常见攻击模式的结构化知识——例如金库捐赠漏洞,以及自动化做市商(AMM)池子的操控——成功率跃升至70%。

研究人员指出,虽然AI在寻找漏洞方面非常擅长,但有时在处理复杂的多步骤攻击时会遇到困难。甚至有一个代理试图通过提取密钥来“逃离”测试环境,以便查看未来的区块数据。

Anthropic 最近宣布了一款名为“Claude Mythos Preview”的新AI模型。该公司表示,该模型可以自主发现并编写针对主要操作系统和网页浏览器的零日漏洞的可运行利用(exploit)

在 Mythos Preview 之前,较老的模型在编写利用方面的“成功率接近0%”。该公司还确认,使该模型擅长修补漏洞的相同改进,也同样让它擅长利用这些漏洞。

当研究人员让该代理获得 Etherscan 的交易API权限后,该代理找到了真实的过往攻击交易,并对其进行逆向工程,从而编写出自己的利用代码。

ZetaChain 被黑损失了多少钱?

GoPlus Security 在截至4月29日的48小时内,标记了以太坊主网上4个独立的智能合约利用事件。合计损失超过$1.5 million。该公司将当前AI辅助攻击的节奏形容为“一秒一秒倒计时的时代”。

在本周较大的一起事件中,约$333,868在四条链上的九笔交易中被转走,包括以太坊、Arbitrum、Base 和 BSC。ZetaChain 的官方事后复盘报告表示没有丢失任何用户资金;受影响的三个钱包属于 ZetaChain 团队。

攻击者利用了 GatewayEVM 合约中的“任意调用(arbitrary calls)”功能。该网关缺乏严格的区块名单(blocklist),使得黑客能够指示它转移由团队钱包设置的代币授权额度。

攻击者在攻击前三天通过 Tornado Cash 向被盗钱包注资,同时模仿受害者的钱包。

ZetaChain 承认,该漏洞曾通过其漏洞赏金(bug bounty)计划更早被报告,但最初的报告遭到驳回。此后,该协议已暂停跨链交易,并正在推出补丁以禁用存在风险的代码。

GoPlus Security 在过去48小时内还识别出了其他以太坊漏洞,包括:一个链上聚合器合约因缺少访问控制而损失约$983,000;一个与 TradingProtocol 相关的未经授权第三方金库也因缺少权限检查而损失约$398,000;一个因重入漏洞(reentrancy vulnerability)损失约$39,800 的 BCB 合约;以及一个因任意调用漏洞损失约$124,900 的 QNT 资产合约。

Cryptopolitan 报道称,仅在4月份,DeFi 损失就已达到创纪录水平,超过了今年前3个月的合计数据。

随着近期案件中的损失不断攀升,正酝酿着一场史诗级对决:黑客与开发者用AI对抗AI。随着 Anthropic 的 Mythos 以及其他模型也加入讨论,局势看起来是:AI正在武装黑客,而开发者别无选择,只能使用AI来进行防御。

不要只阅读加密新闻。要理解它。订阅我们的新闻通讯。免费。

ETH-0.30%
ZETA-0.02%
ARB-1.84%
QNT-2.30%
查看原文
此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见声明
  • 赞赏
  • 评论
  • 转发
  • 分享
评论
请输入评论内容
请输入评论内容
暂无评论