هوش مصنوعی که سریع تر از توان حسابرسی شما سرقت می کند

دوران بررسی دستی در DeFi به پایان نزدیک می شود. GPT-5 و Claude اکنون قادرند به صورت خودکار ضعف های امنیتی قراردادهای هوشمند Ethereum را شناسایی کرده و از آنها سوء استفاده کنند. حفظ سلامت آینده بخش DeFi اکنون وابسته به توانایی صنعت است تا بتواند با سرعت تهدید، هوش مصنوعی دفاعی را به کار بگیرد.

چگونگی اجرای اکسپلویت توسط هوش مصنوعی

قرارداد هوشمند یک برنامه خوداجرا است که عمدتاً با Solidity برای ماشین مجازی Ethereum نوشته می شود. سازوکار آن ساده است: سرمایه وارد می شود، شرایط بررسی می شود، خروجی تولید می شود. ضعف امنیتی، خطایی در کدنویسی است که به مهاجم اجازه می دهد شرایط مورد نظر طراح را دور بزند.

GPT-5 و Claude Opus 4.5 مانند «عامل های تولیدکننده اکسپلویت» عمل می کنند و از یک فرایند تکراری و بسیار پیشرفته استفاده می کنند:

1. به عامل هوش مصنوعی یک هدف داده می شود: آدرس قرارداد، شماره بلاک. این عامل از ابزارهای تخصصی برای دریافت کد منبع، ABI (رابط باینری برنامه) قرارداد و وضعیت فعلی روی زنجیره استفاده می کند.
2. مدل کد و وضعیت را برای الگوهای ضعف شناخته شده تحلیل می کند. سپس یک اثبات مفهومی از اکسپلویت را به صورت یک قرارداد مخرب جدید در Solidity تولید می کند.
3. این PoC در یک محیط شبیه سازی شده بلاکچین (برای نمونه، شبکه فورک شده با Foundry) اجرا می شود. این مرحله حیاتی است. اگر اکسپلویت شکست بخورد، هوش مصنوعی رد تراکنش و دلیل بازگشت را بررسی کرده و با استفاده از این بازخورد، اسکریپت اکسپلویت جدید و بهینه تولید می کند.
4. عامل تنها زمانی موفقیت را گزارش می کند که نتیجه اکسپلویت منجر به درآمد مثبت خالص شود.

پژوهشگران با موفقیت از این عامل ها برای بازتولید اکسپلویت های صدها ضعف امنیتی تاریخی در یک معیار استفاده کرده اند و در مجموع اکسپلویت های شبیه سازی شده ای به ارزش 4.6 میلیون دلار آمریکا تولید کرده اند. در شبیه سازی ها علیه قراردادهای تازه مستقر شده و بدون بررسی، این عامل ها توانستند آسیب پذیری های روز صفر را کشف کنند؛ نقص هایی که پیش از آن برای هیچ کس شناخته شده نبود.

عدم تقارن اقتصادی و بحران حسابرسی

حسابرسی دستی در برابر این سطح جدید تهدید مقیاس پذیر نیست. حسابرسان انسانی برای همگام شدن با سرعت تهدیدها در تقلا هستند و این موضوع در بازار نیز منعکس می شود: گزارش Chainalysis نشان می دهد که هک های مرتبط با DeFi در سال 2024 بخش غالبی از کل سرقت های کریپتو را تشکیل داده اند، روندی که سوء استفاده های هوش مصنوعی احتمالاً آن را تسریع خواهد کرد. این افزایش ریسک، پذیرش کاربران و ارزش بازار کل اکوسیستم Ethereum را به خطر می اندازد.

مشهورترین هک DAO در سال 2016. یک باگ بازدرآمدی زمانی رخ می دهد که یک قرارداد، اتر را به یک آدرس خارجی ارسال کرده و سپس پس از آن فراخوانی، وضعیت داخلی اش را به روز می کند. قرارداد مهاجم شامل یک تابع بازگشتی است که هنگام دریافت اتر، دوباره قرارداد اصلی را فراخوانی می کند تا پیش از کاهش موجودی، سرمایه بیشتری برداشت کند. این کار به مهاجم اجازه می دهد برداشت را چندین بار پشت سر هم تکرار کند. هوش مصنوعی می تواند به راحتی این توالی چند تراکنشی را مدل سازی و اجرا کند؛ چیزی که تنها با تحلیل ایستا بسیار پیچیده است.

نکات کلیدی

• عامل های مدرن LLM می توانند به صورت خودکار اکسپلویت های سودآور قراردادهای هوشمند را تولید، آزمایش و بهینه کنند.
• بررسی های انسانی با سرعت محدود نمی توانند با تولید اکسپلویت های تکراری و مبتنی بر بازخورد همگام شوند.
• یک اکسپلویت موفق هزینه بی نهایت شکست را جبران می کند؛ مدافعان باید همیشه درست عمل کنند.
• بسیاری از اکسپلویت های پراثر (مانند بازدرآمدی و خطاهای منطق وابسته به وضعیت) تنها از طریق اجرای پویا آشکار می شوند.
• عامل های هوش مصنوعی در حال کشف ضعف هایی هستند که هیچ انسانی قبلاْ مستند یا شناسایی نکرده است.