Un grup de cercetători de la Universitatea College London și Universitatea din Sydney a dezvoltat un program robotic capabil să identifice și să exploateze vulnerabilitățile din contracte inteligente scrise în Solidity, limbajul folosit în rețele blockchain precum Ethereum sau Binance Smart Chain.
Sistemul automatizat, numit A1, a demonstrat o eficiență remarcabilă, generând cod executabil ce ar putea fi utilizat pentru a sustrage criptomonede automat, conform publicației The Register.
A1, programul robotic care creează cod de atac funcțional și profitabil
Spre deosebire de alte instrumente robotizate orientate spre securitate, A1 nu se limitează la raportarea potențialelor vulnerabilități. Acest program poate crea direct exploatări funcționale, testate în medii simulate din blockchain.
Conform unui studiu recent publicat într-un articol academic, A1 a fost testat pe 36 de contracte inteligente reale și a avut un succes de 63% în generarea de exploatări operaționale.
Programul a folosit modele dezvoltate de OpenAI (o3 și o3-pro), Google (Gemini), DeepSeek și Alibaba (Qwen).
Modelele OpenAI s-au dovedit cele mai eficiente: în doar câteva interacțiuni, o3-pro a identificat erori și a optimizat profiturile în 88,5% din cazuri, generând câștiguri potențiale de 8,5 milioane de dolari per contract exploatat.
Printre instrumentele integrate în A1 se numără module pentru extragerea codului sursă, inițializarea parametrilor, interpretarea funcțiilor contractului, testarea și estimarea profitului potențial.
Astfel, sistemul funcționează ca un „hacker” complet automatizat, capabil să înțeleagă, să evalueze și să atace un contract inteligent fără intervenție umană.
Costuri reduse, riscuri legale mari și asimetrie de putere
Costul fiecărui experiment variază între 0,01 și 3,59 dolari, ceea ce înseamnă că o exploatare de 100.000 de dolari ar putea sprijini mii de teste suplimentare, în timp ce o recompensă pentru identificarea vulnerabilităților acoperă o fracțiune nesemnificativă.
Autorii atrag atenția asupra diferenței semnificative de eficiență între atacatori și apărători: dacă atacatorii folosesc programe robotizate, iar apărătorii metode clasice, costurile și viteza vor înclina balanța în favoarea infractorilor.
Cercetătorii recomandă echipelor de dezvoltare să utilizeze asemenea instrumente pentru a-și testa în mod continuu protocoalele și a preveni atacurile înainte ca un actor rău intenționat să le exploateze.
Modelul actual de securitate cibernetică în Web3 nu este sustenabil, susțin ei, datorită încrederii exagerate în etica celor care descoperă vulnerabilitățile.
Deși inițial cercetătorii au anunțat că vor face A1 un proiect open-source, această decizie a fost reconsiderată, ținând cont de puterea distructivă potențială a programului. Conform declarațiilor oficiale, publicarea codului a fost amânată până la definirea unei etici clare.