AIオーディターが立ち上げ前に200万ドルのスマートコントラクトバグを発見

メインネットに到達しなかった脆弱性

主要な分散型レンディングプロトコルの立ち上げ数週間前、AIオーディターが攻撃者が静かに資金を抜き取ることを可能にする脆弱性を発見しました。

この欠陥は設計上は単純でしたが、影響は深刻でした。出金機能は、ユーザー残高の微小な取引を「ゼロ」に切り捨てる一方で、依然として準備金からトークンを送信していました。自動化されたループでこのアクションを繰り返すことで、攻撃者はゼロ残高であっても、プール全体（預かり資産（TVL）で約200万ドル）を枯渇させることができたでしょう。

このバグがメインネットに到達していたら、その結果は即座に現れていたでしょう。出金は失敗し、貸し出しは停止し、預金者は準備金がもはや預金と一致しないことを発見することになったでしょう。その影響が悪いと言うのは控えめな表現です。

代わりに、この脆弱性はデプロイ前に修正されました。この発見は人間のチームからではなく、セキュリティプロセスに参入している自動化システムの波の一部であるSherlock AIからもたらされました。

スマートコントラクト監査の一般的な仕組み

スマートコントラクト監査はDeFiにおける標準的な立ち上げ前の儀式です。プロトコルは人間のエンジニアを雇い、弱点を探すために関数ごとにコードをレビューします。これらの監査は無数の脆弱性が本番環境に到達するのを防いできましたが、高価で時間がかかり、最終的には人間の集中力に依存するという制約があります。

プロトコルの規模と複雑さが増し（そして何十億ものユーザー預金が危険にさらされる中）、業界は新しいアプローチを模索せざるを得なくなりました。

AIオーディターの登場

AIシステムは問題に異なるアプローチをします。彼らは継続的にコードをスキャンし、数学的な奇妙さ、論理エラー、見落とされたエッジケースを機械速度でフラグ付けします。彼らは人間のレビュアーに取って代わるものではありませんが、疲れを知らず、すべての新しいコミットにわたって実行できる別の目を追加します。

200万ドルのレンディングバグはこのモデルの価値を示しています。無害に見えた丸め計算が実際には壊滅的な結果をもたらしていたでしょう。AIシステムは攻撃者がチャンスを得る前にそれにフラグを立てました。

ケーススタディとしてのSherlock

SherlockはAI監査を運用化した最初の企業の一つです。そのシステムはレンディングバグに関する構造化されたレポートを作成しました：エラーがどこに現れたか、どのように悪用される可能性があるか、そして財務的な影響がどのようなものになるかについてです。

「この問題を捉えたことで、AIオーディターがすでに結果を変えていることが示されました」とSherlockチームのメンバーは述べました。「彼らはもはや理論上のものではありません。彼らは人間の監査では捉えられないかもしれないミスを浮き彫りにしています。」

Sherlockが例を提供する一方で、より広い物語は新しいカテゴリーの到来についてです。かつてプロフェッショナルな監査会社がDeFiプロジェクトの標準となったように、AIオーディターはそのプロセスの中で自分たちの場所を確立し始めています。

なぜ業界は注目すべきか

DeFiはすでにバグと論理的欠陥により何十億ドルもの損失を出しています。各インシデントはウォレットを空にするだけでなく、ブロックチェーン全体への信頼を侵食します。AIオーディターの約束は完璧さではなく、追加の防御 - 大規模にエラーを浮き彫りにし、損害を与える脆弱性が漏れる可能性を減らす方法です。

人間のレビューとAIの監視の組み合わせがすぐに新しい標準になるかもしれません。200万ドルの発見は、そのシフトの最初の公開証拠の一つとして機能します。

今後の展望

バグはメインネットに触れることはありませんでしたが、それは転換点を示す可能性があります。プロトコルにとって、AIオーディターはすでに具体的な結果を生み出し、損失を防ぎ、チームが立ち上げ前のセキュリティについてどのように考えるかを再形成しています。

この瞬間は、バグ自体よりも、それが表すもの：Web3セキュリティにおける新しいカテゴリーとしてのAIオーディターの出現として記憶されるかもしれません。

Sherlockについて

Sherlockは、研究者、敵対的テスト、AIシステム、および財務的カバレッジを組み合わせた、スマートコントラクトのためのフルライフサイクルセキュリティパートナーとして自らを説明しています。同社は構築から立ち上げ、継続的な更新まで、セキュリティを単一のイベントではなく継続的なプロセスとして扱い、プロトコルをサポートしています。先週、SherlockはそのスイートにSherlock AIを追加し、人間の監査を継続的なモニタリングで強化するように設計された自動コードレビューを導入しました。

:::tip この記事はHackerNoonのビジネスブログプログラムの下でBtcwireによるプレスリリースとして公開されました。金融的な決断を下す前に自分自身で調査してください。

:::

\ \

\n