Así lo declaró Manuel Araoz, cofundador de OpenZeppelin, empresa que desarrolla la biblioteca de contratos inteligentes más popular para Ethereum y otras cadenas, el 26 de mayo de este año.
Allers defendió su posición. Uso de la IA para arrostrar a lado hackeos y ciberataques:
Los agentes criptográficos (herramientas de inteligencia fabricado) son sobrehumanos a la hora de encontrar vulnerabilidades y la seguridad de los contratos inteligentes es demasiado asimétrica. El defensor necesita corregir todos los errores, pero el atacante sólo necesita un exploit para robar los fondos.
Manuel Araoz, cofundador de OpenZeppelin.
La desigualdad que describe Aráoz no es una advertencia técnica abstracta, sino que proviene de las personas que diseñaron algunas de las bases sobre las que se construyen estos protocolos.
El diagnosis se anunció a posteriori de una serie de ataques y exploits ocurridos en el espacio DeFi desde abril del año pasado. Ese mes, los protocolos DeFi establecieron récords Aproximadamente 635 millones de dólares perdidos en al menos 34 ataquessegún informó CriptoNoticias.
Esta tendencia continuó en mayo. El puente entre Verus y la red Ethereum costó 11,58 millones de dólares, y THORChain registró una pérdida estimada de más de 10 millones de dólares.
IA como multiplicador de ataques
Según quienes analizan el hacking desde internamente, existen puntos en global en la velocidad del hacking.
Maximiliano Carjuzaa, cofundador de Money On Chain (un protocolo DeFi construido sobre Rootstock, una sujeción pegado de Bitcoin), estimó en entrevista con CriptoNoticias: Casi el 100% de los ataques registrados en los últimos dos meses involucraron IA Hasta cierto punto, se proxenetismo de descubrir vectores de ataque, desarrollar exploits o ambas cosas.
Encima, Carjuzaa cree que lo que está en equipo solo aumentará en el futuro, especialmente cuando se proxenetismo del nuevo maniquí de IA de Anthropic llamado Mythos. El maniquí, que aún no está apto públicamente, está siendo probado por empresas como Google y Microsoft, y “ya se han descubierto miles de vulnerabilidades de día cero”, afirmó Carjuzaa.
Este será un duro trastazo en los próximos meses y lo veremos en gobiernos, hospitales, militares, departamentos de policía, pequeñas empresas, etc. de países del tercer mundo. Eso va a ser difícil.
Maximiliano Caljuser, cofundador de Money on Chain.
El propio Kaljuser experimentó la dualidad del problema. La útil de inteligencia fabricado detecta vulnerabilidades en el código de Money On Chain en aproximadamente 1 minuto Ha superado cinco auditorías humanas durante sus siete abriles de producción. y permaneció expuesto desde el inicio del protocolo. Carjuzaa y su equipo detuvieron la plataforma, solucionaron el problema y la reiniciaron.
Del mismo modo, Charles Guillemet, director de tecnología de Ledger, explicó que actualmente no es posible exigir un maniquí de habla para analizar las diferencias de seguridad entre dos versiones de un software y gestar un exploit. Más rápido, más asequible y más capaz que cualquier método precursor.
El código no importa: Manuel Arraoz y las opiniones contradictorias
Mark Zeller, cofundador de Ethereum Francia y uno de los principales organizadores de EthCC (la conferencia Ethereum más alto de Europa), desmintió el diagnosis de Araoz:
Menos del 10% de los problemas de DeFi el año pasado se debieron al código. La mayoría de ellos son una mala configuración de parámetros, balance de garantías y una seguridad operativa insuficiente.
Mark Zeller, cofundador de Ethereum Francia.
Esta distinción es importante. Los errores de código son errores en la método de los contratos inteligentes que los auditores (o las herramientas de inteligencia fabricado) pueden detectar antaño de la implementación. Por otro costado, si los parámetros se establecen incorrectamente, se convierte en una intrepidez de gobernanza. Los ejemplos incluyen establecer ratios de respaldo demasiado permisivos, permitir activos ilíquidos como respaldo y no poner al día los umbrales de aventura delante los cambios del mercado.
La seguridad operativa a la que se refería Zeller se refiere a: Cómo alcanzar a funciones importantes del protocolo y cuidar claves. Si Zeller tiene razón, el argumento de Allers de que los agentes de IA hacen que el código sea indefendible en efectividad ataca a un vector que no es el dominante.
El hackeo del puente Verus-Ethereum el 17 de mayo, señala el cofundador de Ethereum France, ya que la integridad criptográfica de los mensajes recibidos fue verificada correctamente en el acuerdo. no verificó si el monto obvio en esa exportación estaba respaldado por el valía efectivo bloqueado en la sujeción de origen;.
El atacante del puente construyó una transacción con un monto de fuente malogrado y una tarifa de aproximadamente $10. Después, la sujeción lo aceptó como válido y el acuerdo liberó 11,58 millones de dólares de sus reservas. Por lo tanto, no es solo un error que las herramientas de inteligencia fabricado pueden detectar escaneando líneas de código. Decisiones arquitectónicas sobre lo que se verifica y lo que no.
(Traducción de etiquetas) Blockchain
