AI Auditor Phát Hiện Lỗi Hợp đồng thông minh Trị Giá 2M USD Trước Khi Ra Mắt

Một Lỗ Hổng Chưa Từng Đến Với Mainnet

Vài tuần trước khi một giao thức cho vay phi tập trung hàng đầu chuẩn bị ra mắt, một AI kiểm toán đã phát hiện một lỗ hổng có thể cho phép kẻ tấn công âm thầm rút cạn tiền.

Lỗi này có thiết kế đơn giản nhưng tác động nghiêm trọng. Chức năng rút tiền làm tròn các giao dịch nhỏ xuống "không" trong số dư người dùng nhưng vẫn gửi token từ dự trữ. Bằng cách lặp lại hành động này trong một vòng lặp tự động, kẻ tấn công có thể rút cạn toàn bộ pool - gần 2 triệu đô la trong tổng giá trị bị khóa (TVL), ngay cả với số dư bằng không.

Nếu lỗi này xuất hiện trên mainnet, hậu quả sẽ xảy ra ngay lập tức. Việc rút tiền sẽ thất bại, cho vay sẽ ngừng hoạt động, và người gửi tiền sẽ phát hiện ra rằng dự trữ không còn khớp với tiền gửi. Nói rằng hậu quả sẽ tồi tệ là một cách nói giảm nói tránh.

Thay vào đó, lỗ hổng đã được vá trước khi triển khai. Phát hiện này không đến từ một đội ngũ con người, mà từ Sherlock AI - một phần của làn sóng hệ thống tự động hiện đang tham gia vào quy trình bảo mật.

Kiểm Toán Hợp Đồng Thông Minh Thường Hoạt Động Như Thế Nào

Kiểm toán hợp đồng thông minh là một nghi thức tiêu chuẩn trước khi ra mắt trong DeFi. Các giao thức thuê kỹ sư con người để xem xét mã, từng chức năng một, để tìm kiếm điểm yếu. Những cuộc kiểm toán này đã ngăn chặn vô số lỗ hổng không bao giờ đến được sản phẩm, nhưng chúng bị hạn chế: đắt đỏ, tốn thời gian và cuối cùng phụ thuộc vào sự tập trung của con người.

Với các giao thức ngày càng lớn về quy mô và phức tạp (và hàng tỷ đô la tiền gửi của người dùng đang bị đe dọa), ngành công nghiệp đã buộc phải tìm kiếm các phương pháp tiếp cận mới.

Sự Xuất Hiện Của Kiểm Toán AI

Hệ thống AI tiếp cận vấn đề theo cách khác. Chúng có thể quét mã liên tục, đánh dấu các điểm kỳ lạ về toán học, lỗi logic và các trường hợp cạnh bị bỏ qua với tốc độ máy móc. Chúng không thay thế người đánh giá con người, nhưng chúng thêm một bộ mắt khác không bao giờ mệt mỏi và có thể chạy trên mọi commit mới.

Lỗi cho vay 2 triệu đô la minh họa giá trị của mô hình này. Điều trông có vẻ như một phép tính làm tròn vô hại đã có thể gây ra thảm họa trong thực tế. Một hệ thống AI đã đánh dấu nó trước khi kẻ tấn công có cơ hội.

Sherlock Như Một Trường Hợp Nghiên Cứu

Sherlock là một trong những công ty đầu tiên đưa kiểm toán AI vào hoạt động. Hệ thống của nó đã tạo ra một báo cáo có cấu trúc về lỗi cho vay: nơi lỗi xuất hiện, cách nó có thể bị khai thác và hậu quả tài chính có thể như thế nào.

"Việc phát hiện vấn đề này cho thấy các kiểm toán viên AI đã thay đổi kết quả," một thành viên nhóm Sherlock nói. "Họ không còn là lý thuyết nữa. Họ đang phát hiện những sai sót mà kiểm toán con người có thể không bắt được."

Trong khi Sherlock cung cấp ví dụ, câu chuyện rộng lớn hơn là về sự xuất hiện của một danh mục mới. Giống như các công ty kiểm toán chuyên nghiệp từng trở thành tiêu chuẩn cho các dự án DeFi, các kiểm toán viên AI đang bắt đầu tạo ra vị trí của họ trong quy trình.

Tại Sao Ngành Công Nghiệp Nên Chú Ý

DeFi đã mất hàng tỷ đô la vì lỗi và sai sót logic. Mỗi sự cố không chỉ làm rỗng ví mà còn làm suy giảm niềm tin vào blockchain nói chung. Lời hứa của các kiểm toán viên AI không phải là sự hoàn hảo, mà là phòng thủ bổ sung - một cách để phát hiện lỗi ở quy mô lớn và giảm khả năng các lỗ hổng gây hại lọt qua.

Sự kết hợp giữa đánh giá của con người và giám sát AI có thể sớm trở thành tiêu chuẩn mới. Phát hiện 2 triệu đô la đóng vai trò như một trong những bằng chứng công khai đầu tiên về sự thay đổi đó.

Nhìn Về Phía Trước

Lỗi này chưa bao giờ chạm đến mainnet, nhưng nó có thể đánh dấu một điểm chuyển ngoặt. Đối với các giao thức, các kiểm toán viên AI đã tạo ra kết quả hữu hình, ngăn chặn tổn thất và định hình lại cách các nhóm suy nghĩ về bảo mật trước khi ra mắt.

Khoảnh khắc này có thể được nhớ đến ít vì bản thân lỗi hơn là vì những gì nó đại diện: sự xuất hiện của các kiểm toán viên AI như một danh mục mới trong bảo mật Web3.

Về Sherlock

Sherlock tự mô tả mình là đối tác bảo mật vòng đời đầy đủ cho hợp đồng thông minh, kết hợp các nhà nghiên cứu, kiểm tra đối kháng, hệ thống AI và bảo hiểm tài chính. Công ty hỗ trợ các giao thức từ xây dựng đến ra mắt và cập nhật liên tục, coi bảo mật là một quá trình liên tục chứ không phải một sự kiện đơn lẻ. Tuần trước, Sherlock đã thêm Sherlock AI vào bộ công cụ của mình, giới thiệu đánh giá mã tự động được thiết kế để củng cố kiểm toán con người với giám sát liên tục.

:::tip Câu chuyện này được xuất bản như một thông cáo báo chí bởi Btcwire theo Chương trình Viết blog Kinh doanh của HackerNoon. Hãy tự nghiên cứu trước khi đưa ra bất kỳ quyết định tài chính nào.

:::

\ \

\n