يعاني القطاع المالي اللامركزي للعملات المشفرة من تزايد الخسائر مع اكتساب حملات القرصنة الآلية المتطورة زخمًا

تفاقمت سلسلة الهجمات على شبكة إيثريوم الرئيسية والتي أدت إلى خسائر تزيد عن 1.5 مليون دولار بسبب بحث جديد يظهر أن عملاء الذكاء الاصطناعي (AI) يمكنهم الآن اكتشاف واستغلال نقاط الضعف في بروتوكولات التمويل اللامركزية بشكل مستقل.

أفادت شركة الأمن GoPlus Security أنه تم استغلال أربعة عقود منفصلة في 48 ساعة فقط انتهت في 29 أبريل. وحذرت الشركة من أن المتسللين المسلحين بالذكاء الاصطناعي أصبحوا أكثر دقة وأسرع من أي وقت مضى.

وليس لدى مطوري عقود DeFi الذكية مكان يلجأون إليه باستثناء الذكاء الاصطناعي لمعالجة المشكلات التي بدأها الذكاء الاصطناعي نفسه.

هل يستطيع الذكاء الاصطناعي اختراق DeFi بنفسه؟

اختبرت a16z crypto وكيل ترميز الذكاء الاصطناعي الجاهز ضد 20 حادثة تلاعب سابقة بالأسعار على إيثريوم، ووجدت أنه عندما تم منح عنوان العقد والأدوات الأساسية فقط، نجح الذكاء الاصطناعي في استغلال الثغرة الأمنية بنسبة 10٪ فقط من الوقت.

ومع ذلك، عندما منح الباحثون العميل إمكانية الوصول إلى المعرفة المنظمة حول أنماط الهجوم الشائعة مثل عمليات استغلال التبرعات في الخزائن والتلاعب بمجموعات صانع السوق الآلي (AMM)، قفز معدل النجاح إلى 70%.

وأشار الباحثون إلى أنه على الرغم من أن الذكاء الاصطناعي جيد جدًا في العثور على الأخطاء، إلا أنه يواجه أحيانًا صعوبات في التعامل مع هجمات معقدة ومتعددة الخطوات. حتى أن أحد العملاء حاول "الهروب" من بيئة الاختبار الخاصة به عن طريق استخراج مفتاح سري للنظر في بيانات الكتلة المستقبلية.

أعلنت Anthropic مؤخرًا عن نموذج جديد للذكاء الاصطناعي يسمى "Claude Mythos Preview". وذكرت الشركة أن هذا النموذج يمكنه العثور بشكل مستقل على ثغرات العمل وكتابتها لثغرات اليوم صفر عبر أنظمة التشغيل ومتصفحات الويب الرئيسية.

قبل Mythos Preview، كانت النماذج القديمة تحقق "معدل نجاح يقارب 0%" في كتابة الثغرات. وأكدت الشركة أيضًا أن التحسينات نفسها التي تجعل النموذج جيدًا في تصحيح الثغرات الأمنية تجعله أيضًا جيدًا في استغلالها.

عند منحه حق الوصول إلى واجهة برمجة تطبيقات المعاملات الخاصة بـ Etherscan، وجد الوكيل معاملات هجوم سابقة فعلية وقام بإجراء هندسة عكسية لها لكتابة رمز الاستغلال الخاص به.

كم خسرت في اختراق ZetaChain؟

حددت GoPlus Security أربع عمليات استغلال منفصلة للعقود الذكية على شبكة Ethereum الرئيسية خلال فترة 48 ساعة تنتهي في 29 أبريل. وتجاوزت الخسائر المجمعة 1.5 مليون دولار. وقد وصفت الشركة الوتيرة الحالية للهجمات المدعومة بالذكاء الاصطناعي بأنها "عصر العد التنازلي بالثانية".

وفي إحدى أكبر الحوادث التي وقعت هذا الأسبوع، تم استنزاف ما يقرب من ٣٣٣٨٦٨ دولارًا أمريكيًا عبر تسع معاملات على أربع سلاسل، بما في ذلك إيثريوم وأربيتروم وبيس وبي إس سي. يقول تقرير ZetaChain الرسمي بعد الوفاة أنه لم يتم فقدان أي أموال من المستخدمين؛ تنتمي المحافظ الثلاث المتضررة إلى فريق ZetaChain.

استغل المهاجم إحدى الميزات الموجودة في عقد GatewayEVM باستخدام "المكالمات التعسفية". كانت البوابة تفتقر إلى قائمة حظر صارمة، مما يسمح للمتسلل بإرشادها لنقل مخصصات الرمز المميز التي تم تعيينها بواسطة محافظ الفريق.

قام المتسلل بتمويل المحافظ من خلال Tornado Cash قبل ثلاثة أيام من الهجوم أثناء محاكاة محفظة الضحية.

واعترفت شركة ZetaChain بأنه تم الإبلاغ عن الثغرة الأمنية في وقت سابق من خلال برنامج مكافآت الأخطاء الخاص بها، ولكن تم رفض التقارير الأولية. قام البروتوكول منذ ذلك الحين بإيقاف المعاملات عبر السلسلة مؤقتًا ويقوم بطرح تصحيح لتعطيل التعليمات البرمجية المحفوفة بالمخاطر.

تشمل ثغرات إيثريوم الأخرى التي حددتها شركة GoPlus Security على مدار الـ 48 ساعة الماضية عقد تجميع onchain خسر ما يقرب من 983000 دولار بسبب فقدان عناصر التحكم في الوصول؛ قبو غير مصرح به لجهة خارجية مرتبط بـ TradingProtocol والذي خسر ما يقرب من 398000 دولار أيضًا بسبب عدم التحقق من الأذونات؛ عقد BCB الذي خسر ما يقرب من 39800 دولار بسبب ثغرة إعادة الدخول؛ وعقد أصول QNT الذي خسر ما يقرب من 124.900 دولار بسبب ثغرة أمنية في الاتصال العشوائي.

تشير Cryptopolitan إلى أن خسائر التمويل اللامركزي في أبريل وحده وصلت إلى مستويات قياسية، متجاوزة الإحصائيات المجمعة للأشهر الثلاثة الأولى من العام.

ومع تزايد الخسائر في الحالات الأخيرة، فإنها تستعد لمواجهة ملحمية حيث يقاتل المتسللون والمطورون الذكاء الاصطناعي بالذكاء الاصطناعي. مع دخول Anthropic’s Mythos وآخرين إلى المحادثة الآن، يبدو أن الذكاء الاصطناعي يقوم بتسليح المتسللين ولن يكون أمام المطورين أي خيار سوى استخدام الذكاء الاصطناعي للدفاع عن أنفسهم