DeFi menghadapi kerugian yang meningkat karena serangan yang didorong oleh AI meningkat

Serangkaian serangan terhadap mainnet Ethereum yang menyebabkan kerugian lebih dari $1,5 juta telah diperburuk oleh penelitian baru yang menunjukkan bahwa agen kecerdasan buatan (AI) kini dapat secara otomatis menemukan dan mengeksploitasi kerentanan dalam protokol keuangan terdesentralisasi.

Perusahaan keamanan GoPlus Security melaporkan bahwa empat kontrak terpisah telah dieksploitasi dalam waktu hanya 48 jam yang berakhir pada 29 April. Perusahaan memperingatkan bahwa peretas yang didukung AI menjadi semakin tepat dan cepat dari sebelumnya.

Dan pengembang kontrak pintar DeFi tidak punya tempat lain untuk beralih selain AI untuk mengatasi masalah yang justru dimulai oleh AI sendiri.

Bisakah AI benar-benar meretas DeFi sendiri?

a16z crypto menguji agen pengkodean AI siap pakai terhadap 20 insiden manipulasi harga masa lalu di Ethereum dan menemukan bahwa ketika hanya diberikan alamat kontrak dan alat dasar, AI berhasil mengeksploitasi kerentanan hanya 10% dari waktu

Namun, ketika para peneliti memberi agen akses ke pengetahuan terstruktur tentang pola serangan umum seperti eksploitasi donasi vault dan manipulasi kolam pembuat pasar otomatis (AMM), tingkat keberhasilannya melonjak menjadi 70%.

Para peneliti mencatat bahwa meskipun AI sangat baik dalam menemukan bug, terkadang AI kesulitan dengan serangan yang kompleks dan beruntun. Salah satu agen bahkan mencoba untuk “melarikan diri” dari lingkungan uji coba dengan mengekstrak kunci rahasia untuk melihat data blok di masa depan.

Anthropic baru-baru ini mengumumkan model AI baru bernama “Claude Mythos Preview.” Perusahaan menyatakan bahwa model ini dapat secara otomatis menemukan dan menulis exploit yang berfungsi untuk kerentanan zero-day di seluruh sistem operasi utama dan browser web

Sebelum Mythos Preview, model-model lama memiliki “tingkat keberhasilan mendekati 0%” dalam menulis exploit. Perusahaan juga mengonfirmasi bahwa peningkatan yang membuat model ini baik dalam menambal kerentanan juga membuatnya mahir dalam mengeksploitasi kerentanan tersebut

Ketika diberikan akses ke API transaksi Etherscan, agen menemukan transaksi serangan masa lalu yang sebenarnya dan membalikkan rekayasa mereka untuk menulis kode exploit sendiri

Berapa banyak yang hilang dalam peretasan ZetaChain?

GoPlus Security menandai empat eksploit kontrak pintar terpisah di mainnet Ethereum dalam jendela 48 jam yang berakhir pada 29 April. Kerugian gabungan melebihi $1,5 juta. Perusahaan menggambarkan laju serangan berbantuan AI saat ini sebagai “era hitung mundur-detik.”

Dalam salah satu insiden terbesar minggu ini, sekitar $333.868 disedot melalui sembilan transaksi di empat rantai, termasuk Ethereum, Arbitrum, Base, dan BSC. Laporan pasca-insiden resmi ZetaChain menyatakan bahwa tidak ada dana pengguna yang hilang; ketiga dompet yang terpengaruh milik tim ZetaChain

Penyerang memanfaatkan fitur dalam kontrak GatewayEVM menggunakan “panggilan sewenang-wenang.” Gateway tersebut tidak memiliki daftar blokir yang ketat, memungkinkan peretas menginstruksikan transfer izin token yang telah diatur oleh dompet tim.

Peretas membiayai dompet melalui Tornado Cash tiga hari sebelum serangan sambil meniru dompet korban

ZetaChain mengakui bahwa kerentanan ini telah dilaporkan sebelumnya melalui program bug bounty-nya, tetapi laporan awalnya diabaikan. Protokol ini sejak itu menghentikan transaksi lintas rantai dan meluncurkan patch untuk menonaktifkan kode berisiko

Eksploit Ethereum lain yang diidentifikasi oleh GoPlus Security dalam 48 jam terakhir termasuk kontrak agregator onchain yang kehilangan sekitar $983.000 karena kontrol akses yang hilang; vault pihak ketiga yang tidak berwenang terkait TradingProtocol yang kehilangan sekitar $398.000 juga karena kurangnya pemeriksaan izin; kontrak BCB yang kehilangan sekitar $39.800 akibat kerentanan reentrancy; dan kontrak aset QNT yang kehilangan sekitar $124.900 dari kerentanan panggilan sewenang-wenang

Cryptopolitan melaporkan bahwa kerugian DeFi hanya dalam bulan April telah mencapai tingkat rekor, melampaui statistik gabungan untuk tiga bulan pertama tahun ini.

Dengan kerugian yang meningkat dalam kasus-kasus terbaru, ini menyiapkan pertarungan epik di mana peretas dan pengembang saling melawan AI dengan AI. Dengan Mythos dari Anthropic dan lainnya yang kini masuk ke percakapan, tampaknya AI sedang mempersenjatai peretas dan pengembang tidak punya pilihan selain menggunakan AI untuk membela diri

Jangan hanya membaca berita crypto. Pahami itu. Berlangganan newsletter kami. Gratis.