Cryptonews

El sector financiero descentralizado de las criptomonedas se tambalea por las crecientes víctimas a medida que las sofisticadas campañas de piratería robótica ganan impulso.

Source
CryptoNewsTrend
Published
El sector financiero descentralizado de las criptomonedas se tambalea por las crecientes víctimas a medida que las sofisticadas campañas de piratería robótica ganan impulso.

La serie de ataques a la red principal de Ethereum que provocaron pérdidas de más de 1,5 millones de dólares se ha visto exacerbada por una nueva investigación que muestra que los agentes de inteligencia artificial (IA) ahora pueden descubrir y explotar de forma autónoma vulnerabilidades en protocolos financieros descentralizados.

La empresa de seguridad GoPlus Security informó que se explotaron cuatro contratos separados en solo 48 horas hasta el 29 de abril. La empresa advirtió que los piratas informáticos armados con inteligencia artificial se están volviendo más precisos y rápidos que nunca.

Y los desarrolladores de contratos inteligentes de DeFi no tienen a dónde recurrir excepto a la IA para abordar los problemas que la propia IA inició.

¿Puede la IA realmente hackear DeFi por sí sola?

a16z crypto probó un agente de codificación de IA disponible en el mercado en 20 incidentes anteriores de manipulación de precios en Ethereum y descubrió que cuando se le proporcionaba solo una dirección de contrato y herramientas básicas, la IA lograba explotar la vulnerabilidad solo el 10% de las veces.

Sin embargo, cuando los investigadores le dieron al agente acceso a conocimiento estructurado sobre patrones de ataque comunes, como vulnerabilidades de donación de bóvedas y manipulación de grupos de creadores de mercado automatizados (AMM), la tasa de éxito saltó al 70%.

Los investigadores notaron que, si bien la IA es muy buena para encontrar errores, a veces tiene dificultades con ataques complejos de varios pasos. Un agente incluso intentó "escapar" de su entorno de prueba extrayendo una clave secreta para observar los datos de bloques futuros.

Anthropic anunció recientemente un nuevo modelo de IA llamado "Claude Mythos Preview". La compañía afirmó que este modelo puede encontrar y escribir de forma autónoma exploits funcionales para vulnerabilidades de día cero en los principales sistemas operativos y navegadores web.

Antes de Mythos Preview, los modelos más antiguos tenían una “tasa de éxito cercana al 0%” al escribir exploits. La compañía también confirmó que las mismas mejoras que hacen que el modelo sea bueno para parchear vulnerabilidades también lo hacen bueno para explotarlas.

Cuando se le dio acceso a la API de transacciones de Etherscan, el agente encontró transacciones de ataques anteriores reales y les realizó ingeniería inversa para escribir su propio código de explotación.

¿Cuánto se perdió en el hackeo de ZetaChain?

GoPlus Security detectó cuatro exploits de contratos inteligentes separados en la red principal de Ethereum dentro de un período de 48 horas que finalizó el 29 de abril. Las pérdidas combinadas superaron los 1,5 millones de dólares. La empresa ha descrito el ritmo actual de los ataques asistidos por IA como una "era de cuenta regresiva por segundos".

En uno de los incidentes más importantes de la semana, se drenaron aproximadamente $333,868 en nueve transacciones en cuatro cadenas, incluidas Ethereum, Arbitrum, Base y BSC. El informe post-mortem oficial de ZetaChain dice que no se perdieron fondos de los usuarios; Las tres billeteras afectadas pertenecían al equipo ZetaChain.

El atacante aprovechó una característica del contrato GatewayEVM mediante "llamadas arbitrarias". La puerta de enlace carecía de una lista de bloqueo estricta, lo que permitía al hacker ordenarle que transfiriera las asignaciones de tokens que habían sido establecidas por las billeteras del equipo.

El hacker financió billeteras a través de Tornado Cash tres días antes del ataque mientras imitaba la billetera de la víctima.

ZetaChain admitió que la vulnerabilidad había sido reportada anteriormente a través de su programa de recompensas por errores, pero los informes iniciales fueron descartados. Desde entonces, el protocolo ha pausado las transacciones entre cadenas y está implementando un parche para deshabilitar el código riesgoso.

Otros exploits de Ethereum identificados por GoPlus Security en las últimas 48 horas incluyen un contrato de agregación en cadena que perdió aproximadamente $983,000 debido a la falta de controles de acceso; una bóveda de terceros no autorizada vinculada a TradingProtocol que perdió aproximadamente $398,000 también debido a la falta de verificaciones de permisos; un contrato del BCB que perdió aproximadamente 39.800 dólares debido a una vulnerabilidad de reentrada; y un contrato de activos de QNT que perdió aproximadamente $124,900 debido a una vulnerabilidad de llamada arbitraria.

Cryptopolitan informa que las pérdidas de DeFi solo en abril alcanzaron niveles récord, superando las estadísticas combinadas de los primeros tres meses del año.

Con pérdidas crecientes en casos recientes, está creando un enfrentamiento épico en el que piratas informáticos y desarrolladores luchan contra la IA con IA. Con Mythos de Anthropic y otros entrando ahora en la conversación, parece que la IA está armando a los piratas informáticos y los desarrolladores no tendrán más remedio que usar la IA para defenderse.

El sector financiero descentralizado de las criptomonedas se tambalea por las crecientes víctimas a medida que las sofisticadas campañas de piratería robótica ganan impulso.