Der dezentrale Finanzsektor der Kryptowährung leidet unter steigenden Verlusten, da raffinierte Roboter-Hacking-Kampagnen an Dynamik gewinnen

Die Angriffsserie auf das Ethereum-Mainnet, die zu Verlusten von über 1,5 Millionen US-Dollar führte, wurde durch neue Forschungsergebnisse verschärft, die zeigen, dass Agenten der künstlichen Intelligenz (KI) nun selbständig Schwachstellen in dezentralen Finanzprotokollen entdecken und ausnutzen können.

Das Sicherheitsunternehmen GoPlus Security berichtete, dass innerhalb von nur 48 Stunden bis zum 29. April vier separate Verträge ausgenutzt wurden. Das Unternehmen warnte, dass mit KI bewaffnete Hacker präziser und schneller als je zuvor würden.

Und Entwickler von DeFi-Smart-Contracts können sich nur an die KI wenden, um die Probleme anzugehen, die die KI selbst verursacht hat.

Kann KI DeFi wirklich alleine hacken?

a16z crypto testete einen handelsüblichen KI-Codierungsagenten anhand von 20 früheren Preismanipulationsvorfällen auf Ethereum und stellte fest, dass es der KI nur in 10 % der Fälle gelang, die Schwachstelle auszunutzen, wenn nur eine Vertragsadresse und grundlegende Tools gegeben wurden.

Als die Forscher dem Agenten jedoch Zugang zu strukturiertem Wissen über gängige Angriffsmuster wie Tresorspenden-Exploits und automatisierte Market-Maker-Pool-Manipulation (AMM) gewährten, stieg die Erfolgsquote auf 70 %.

Die Forscher stellten fest, dass die KI zwar sehr gut darin ist, Fehler zu finden, sie jedoch manchmal mit komplexen, mehrstufigen Angriffen zu kämpfen hat. Ein Agent versuchte sogar, seiner Testumgebung zu „entkommen“, indem er einen geheimen Schlüssel extrahierte, um sich zukünftige Blockdaten anzusehen.

Anthropic hat kürzlich ein neues KI-Modell namens „Claude Mythos Preview“ angekündigt. Das Unternehmen gab an, dass dieses Modell autonom funktionierende Exploits für Zero-Day-Schwachstellen in den wichtigsten Betriebssystemen und Webbrowsern finden und schreiben kann.

Vor Mythos Preview hatten ältere Modelle eine „Erfolgsquote von nahezu 0 %“ beim Schreiben von Exploits. Das Unternehmen bestätigte außerdem, dass die gleichen Verbesserungen, die das Modell beim Patchen von Schwachstellen gut machen, es auch gut beim Ausnutzen dieser Schwachstellen ermöglichen.

Als der Agent Zugriff auf die Transaktions-API von Etherscan erhielt, fand er tatsächlich vergangene Angriffstransaktionen und entwickelte sie zurück, um seinen eigenen Exploit-Code zu schreiben.

Wie viel ging beim ZetaChain-Hack verloren?

GoPlus Security hat innerhalb eines 48-Stunden-Fensters, das am 29. April endete, vier separate Smart-Contract-Exploits im Ethereum-Mainnet gemeldet. Die Gesamtverluste überstiegen 1,5 Millionen US-Dollar. Das Unternehmen hat das aktuelle Tempo KI-gestützter Angriffe als eine „Countdown-pro-Sekunde-Ära“ beschrieben.

Bei einem der größeren Vorfälle der Woche wurden bei neun Transaktionen auf vier Ketten, darunter Ethereum, Arbitrum, Base und BSC, etwa 333.868 US-Dollar abgezogen. Der offizielle Obduktionsbericht von ZetaChain besagt, dass keine Benutzergelder verloren gegangen sind; Die drei betroffenen Wallets gehörten dem ZetaChain-Team.

Der Angreifer nutzte eine Funktion im GatewayEVM-Vertrag aus, indem er „willkürliche Aufrufe“ nutzte. Dem Gateway fehlte eine strikte Sperrliste, sodass der Hacker es anweisen konnte, von den Team-Wallets festgelegte Token-Kontingente zu übertragen.

Der Hacker finanzierte drei Tage vor dem Angriff Geldbörsen über Tornado Cash und ahmte dabei die Geldbörse eines Opfers nach.

ZetaChain gab zu, dass die Sicherheitslücke bereits früher im Rahmen seines Bug-Bounty-Programms gemeldet worden war, die ersten Berichte wurden jedoch zurückgewiesen. Das Protokoll hat seitdem kettenübergreifende Transaktionen ausgesetzt und führt einen Patch ein, um den riskanten Code zu deaktivieren.

Zu den anderen Ethereum-Exploits, die GoPlus Security in den letzten 48 Stunden identifiziert hat, gehören ein On-Chain-Aggregator-Vertrag, der aufgrund fehlender Zugriffskontrollen etwa 983.000 US-Dollar verloren hat; ein nicht autorisierter Tresor Dritter, der mit TradingProtocol verknüpft ist und der etwa 398.000 US-Dollar verloren hat, auch aufgrund fehlender Berechtigungsprüfungen; ein BCB-Vertrag, der durch eine Wiedereintrittslücke etwa 39.800 US-Dollar verloren hat; und ein QNT-Asset-Vertrag, der durch eine Sicherheitslücke wegen willkürlicher Anrufe etwa 124.900 US-Dollar verloren hat.

Cryptopolitan berichtet, dass die DeFi-Verluste allein im April ein Rekordniveau erreicht haben und die Gesamtstatistik der ersten drei Monate des Jahres übertreffen.

Angesichts der zunehmenden Verluste in den jüngsten Fällen kommt es zu einem epischen Showdown, bei dem Hacker und Entwickler KI mit KI bekämpfen. Da Mythos von Anthropic und andere jetzt ins Gespräch kommen, sieht es so aus, als ob KI Hacker bewaffnet und Entwickler keine andere Wahl haben werden, als KI zu nutzen, um sich zu verteidigen