يكشف مدقق الأمن عن ثغرة أمنية مكونة من ستة أرقام في نظام الحراسة المدعوم بالذكاء الاصطناعي الخاص بـ Blockchain

كشفت شركة أمان بلوكتشين سلو ميست عن سرقة أصول على الشبكة الأساسية، مما أدى إلى خسارة ثلاثة مليارات من رموز DRB بقيمة 174,570 دولارًا تقريبًا. يكشف الحادث، الذي تم تفصيله في منشور مدونة Medium، عن نقاط ضعف خطيرة في نموذج الثقة بين عملاء الذكاء الاصطناعي وأنظمة التداول الآلية.

كيف تكشفت الاستغلال

وفقًا لتحقيق SlowMist، تلاعب المهاجم بنموذج الذكاء الاصطناعي Grok on X (Twitter سابقًا) عن طريق إدخال أمر مشفر بشفرة مورس. قام وكيل تداول آلي يُدعى Bankr، مصمم لتنفيذ مخرجات اللغة الطبيعية لـ Grok، بتفسير المطالبة على أنها تعليمات نقل مشروعة وسحب رموز DRB من السلسلة الأساسية. إن ما يسمى بـ "Grok Wallet" المستخدم في الاستغلال لم يكن مملوكًا لشركة xAI، ولكنه كان عبارة عن محفظة حفظ تم إنشاؤها تلقائيًا بواسطة Bankr لعمليات التداول.

الضعف الأساسي: رسم الخرائط المباشرة لمخرجات الذكاء الاصطناعي

وقد حدد SlowMist السبب الجذري: قام Bankr مباشرة بتعيين مخرجات اللغة الطبيعية لـ Grok إلى أمر نقل قابل للتنفيذ دون التحقق الكافي من هوية المستخدم أو نيته. بالإضافة إلى ذلك، تم منح أذونات عالية المخاطر ببساطة عن طريق تفعيل ميزة العضوية. وأكدت الشركة أن Grok نفسها لا تمتلك مفاتيح خاصة ولم تكن المنفذ المباشر للمعاملة عبر السلسلة؛ بل تم استغلالها كأداة لبدء عملية النقل.

الآثار المترتبة على تكامل الذكاء الاصطناعي وسلسلة الكتل

يؤكد هذا الحادث على المخاطر المتزايدة حيث يتفاعل عملاء الذكاء الاصطناعي بشكل متزايد مع بروتوكولات blockchain. يؤدي الافتقار إلى طبقات تحقق قوية بين مخرجات الذكاء الاصطناعي والإجراءات المالية إلى إنشاء سطح هجوم جديد. ويحذر خبراء الأمن من أن عمليات استغلال مماثلة قد تصبح أكثر شيوعًا ما لم تطبق المنصات ضوابط أكثر صرامة للأذونات، والمصادقة متعددة العوامل، وآليات التحقق من النوايا.

استرداد الأموال ومكافأة الأخطاء

بعد المفاوضات بين المتسلل والضحية، تم إرجاع ما يقرب من 80-88٪ من الأموال المسروقة إلى USDC وETH. وتم التعامل مع الجزء المتبقي على أنه مكافأة غير رسمية للأخطاء، وهي ممارسة شائعة في مجال العملات المشفرة لتشجيع الكشف المسؤول. ولم يكشف SlowMist عن هوية الضحية أو المتسلل.

الاستنتاج

يعد تقرير SlowMist بمثابة دراسة حالة مهمة لصناعات العملات المشفرة والذكاء الاصطناعي. نظرًا لأن وكلاء التداول الآليين أصبحوا أكثر تطورًا، يجب إعادة تصميم نموذج الثقة بين مخرجات الذكاء الاصطناعي والتنفيذ المالي مع مراعاة الأمن كمبدأ أساسي. وبدون هذه الضمانات، قد يؤدي التقارب بين الذكاء الاصطناعي وتقنية blockchain إلى المزيد من عمليات الاستغلال المكلفة.

الأسئلة الشائعة

س1: ما هي القيمة الإجمالية المسروقة في استغلال السلسلة الأساسية؟ سرق المهاجم ثلاثة مليارات من رموز DRB، تقدر قيمتها بحوالي 174,570 دولارًا في وقت وقوع الحادث.

السؤال الثاني: كيف تلاعب المتسلل بوكيل الذكاء الاصطناعي؟ أدخل المتسلل أمرًا بشفرة مورس إلى Grok on X، والذي أساء وكيل التداول Bankr تفسيره على أنه تعليمات تحويل مشروعة، مما أدى إلى السحب غير المصرح به.

س3: هل كانت محفظة Grok مملوكة لشركة xAI؟ لا. كانت المحفظة عبارة عن محفظة حفظ يتم إنشاؤها تلقائيًا بواسطة Bankr للتداول، وليست مملوكة أو خاضعة لسيطرة xAI.