专家表示,人工智能为加密攻击者提供了与防御者相同的工具,其结果给该行业造成了数十亿美元的损失。

Immunefi 首席执行官 Mitchell Amador 表示,解密在新加坡 Token2049 周开始时,人工智能已将漏洞发现转变为近乎即时的利用,并且他的公司构建的高级审计工具不再是好人的专属。

“如果我们有这个工具,朝鲜的 Lazarus 组织能开发类似的工具吗?俄罗斯乌克兰黑客组织能开发类似的工具吗?”阿马多尔问道。“答案是可以的。”

他说,Immunefi 的 AI 审计代理的表现优于绝大多数传统审计公司,但资金充足的黑客行动也能获得同样的能力。

他说:“审计很棒,但远远不足以跟上创新的速度和攻击者复合改进的速度。”

锁定总价值超过 3%整个生态系统被盗2024 年,阿马多尔表示,虽然安全不再是事后考虑的问题,但项目“仍然难以知道如何在那里进行投资以及如何有效地分配资源”。

他补充道,该行业已经从“优先排序问题(这是一件好事)转变为知识和教育问题”。

阿马多尔表示,人工智能还使得复杂的社会工程攻击变得极其便宜。

“你觉得打个电话要花多少钱?”他指的是人工智能生成的网络钓鱼电话,这些电话可以以令人不安的准确度冒充同事。“你可以用一个精心设计的提示系统,花几分钱就能完成这些任务,而且你可以批量执行。这就是人工智能的可怕之处。”

Immunefi 首席执行官表示,Lazarus 等组织可能“雇佣了至少几百人,甚至可能有几千人昼夜不停地从事加密攻击,以此作为朝鲜经济的主要收入来源”。

“朝鲜年度收入配额带来的竞争压力”促使特工们保护个人资产并“超越同事”,而不是协调安全改进,这是最近SentinelLABS情报报告 成立。

阿马多尔告诉解密“为了防御这种情况,唯一的解决办法就是采取更快的对策。”

他指出,Immunefi 的应对措施是将 AI 直接嵌入到开发人员的 GitHub 存储库和 CI/CD 管道中,在代码投入生产之前捕获漏洞,同时预测这种方法将引发“急剧下降”DeFi一到两年内就能抵御黑客攻击,从而有可能将事件数量减少一个数量级。

Web3 漏洞赏金平台 HackenProof 首席执行官 Dmytro Matviiv 表示,解密“人工审计永远都会有其地位,但其作用将会转变。”

他说:“人工智能工具在捕捉‘唾手可得的’漏洞方面越来越有效,这减少了对常见错误进行大规模人工审查的需要。剩下的是那些微妙的、与环境相关的问题,需要人类深厚的专业知识。”

为了防御人工智能攻击,Immunefi 对所有公司资源和基础设施实施了白名单政策,Amador 表示,该政策“非常有效地阻止了数千次此类鱼叉式网络钓鱼攻击”。

但他说,这种程度的警惕对大多数组织来说并不切实际,并指出“我们 Immuneify 可以做到这一点,因为我们是一家以安全和警惕为生命之本的公司。普通人做不到这一点。他们也要过日子。”

漏洞赏金计划遭遇阻碍

Immunefi 已促成1亿美元的赔付向白帽黑客发放,每月稳定发放金额在100万美元到500万美元之间。然而,阿马多尔告诉解密该平台已经“达到极限”,因为没有“足够的眼球”来为整个行业提供必要的覆盖。

阿马多尔表示,这种限制不仅仅在于研究人员的可用性,因为漏洞赏金面临着一个内在的零和博弈问题,这会给双方带来不良的激励。

研究人员必须披露漏洞才能证明其存在,但一旦披露,他们就失去了所有筹码。Amador 表示,Immunefi 通过在披露前协商详尽的合同来缓解这一问题,这些合同会明确所有细节。

与此同时,Matviiv 告诉解密他并不认为“我们距离耗尽全球安全人才库还很远”,并指出每年都有新的研究人员加入平台,并迅速从“简单的发现到高度复杂的漏洞”取得进展。

“挑战在于如何让这个空间在激励措施和社区方面具有足够的吸引力,让这些新面孔留下来。”

阿马多尔补充道,漏洞赏金计划很可能已经达到了“效率的顶峰”,而传统漏洞赏金计划中甚至不存在全新创新。

该公司正在探索混合人工智能解决方案,以便为个体研究人员提供更大的杠杆来大规模审核更多协议,但这些解决方案仍处于研发阶段。

Matviiv 指出,漏洞赏金仍然至关重要,因为“多元化的外部社区始终最有能力发现自动化系统或内部团队遗漏的边缘情况”,但它们将越来越多地与“混合模型”中的人工智能扫描、监控和审计一起工作。

最大的黑客攻击并非来自代码

尽管 智能合约审计和漏洞赏金已经相当成熟,最具破坏性的漏洞越来越多地完全绕过代码。

14 亿美元 Bybit 黑客攻击阿马多尔表示,今年早些时候就凸显了这种转变,攻击者破坏了 Safe 的前端基础设施,以取代合法的多重签名交易,而不是利用任何智能合约漏洞。

“这不是审计或漏洞赏金能发现的问题,”他说。“那是一个被入侵的内部基础设施系统。”

尽管在审计、CI/CD 管道和漏洞赏金等传统领域的安全性有所改进,但 Amador 指出,该行业在多重签名安全、鱼叉式网络钓鱼、反诈骗措施和社区保护方面“表现不佳”。

Immunefi 推出了一款多重签名安全产品,指派精英白帽黑客在执行每笔重要交易前进行手动审查,该公司表示,此举可以拦截 Bybit 攻击。但他承认,这只是一种被动措施,而非预防措施。

这种不平衡的进展解释了为什么 2024 年成为黑客攻击最严重的一年阿马多尔表示,尽管代码安全性有所提高,但由于黑客模式遵循可预测的数学分布,因此单一大型事件不可避免,而非异常。

“总会有一个大的异常现象,”他说。“这不是异常现象,而是规律。每年总有一次重大黑客事件。”

Matviiv 表示,智能合约安全性已经相当成熟,但“下一个前沿肯定是更广泛的攻击面:多重签名钱包配置、密钥管理、网络钓鱼、治理攻击和生态系统级别的漏洞利用。”

有效的安全需要在开发过程中尽早发现漏洞,Amador 表示解密.

“漏洞赏金是第二昂贵的,最昂贵的是黑客攻击,”他表示,并描述了每个阶段的成本急剧增加的层次。

“我们在漏洞投入生产之前,甚至在审计之前就发现了它们,”阿马多尔补充道。“这些漏洞根本不会包含在审计中。他们不会在漏洞上浪费时间。”

虽然黑客攻击的严重程度仍然很高,但阿马多尔表示,“发生率正在下降,大多数漏洞的严重程度也在下降,我们在周期的早期阶段捕获了越来越多的此类漏洞。”

当被问及 Token2049 的每个项目应该采用什么单一安全措施时,阿马多尔呼吁建立一个“统一安全平台”,以应对多种攻击媒介。

他说,这至关重要,因为分散的安全性实际上迫使项目“自己研究”产品、限制和工作流程。

“我们还没有达到能够处理数万亿资产的程度。我们只是还没有在黄金时段达到这个水平。”