Влияние искусственного интеллекта на криптоатакующих
Искусственный интеллект (ИИ) предоставил криптоатакующим те же инструменты, что и защитникам, и, по словам экспертов, это обходится отрасли в миллиарды долларов. Митчелл Амадор, генеральный директор Immunefi, сообщил Decrypt на конференции Token2049 в Сингапуре, что ИИ превратил обнаружение уязвимостей в почти мгновенную эксплуатацию.
Проблемы безопасности в криптоиндустрии
Продвинутые инструменты аудита, разработанные его компанией, больше не являются исключительными для «хороших парней». «Если у нас есть это, может ли группа Лазарь из Северной Кореи создать аналогичные инструменты? Могут ли российские и украинские хакерские группы создать аналогичные инструменты?» — спросил Амадор. «Ответ в том, что могут.»
Аудиторский агент Immunefi с использованием ИИ превосходит подавляющее большинство традиционных аудиторских компаний, но такая же способность доступна хорошо финансируемым хакерским операциям, отметил он. «Аудиты хороши, но этого совершенно недостаточно, чтобы успевать за темпами инноваций и сложными улучшениями атакующих,» — добавил он.
Экономические последствия атак
С более чем 3% от общей заблокированной стоимости, украденной по всей экосистеме в 2024 году, Амадор сказал, что, хотя безопасность больше не является второстепенным вопросом, проекты «борются с тем, как эффективно инвестировать и распределять ресурсы». Отрасль перешла от «проблемы приоритизации, что является замечательной вещью, к проблеме знаний и образования,» добавил он.
Социальная инженерия и фишинг
ИИ также сделал сложные атаки социальной инженерии очень дешевыми, по словам Амадора. «Как вы думаете, сколько стоит этот телефонный звонок?» — сказал он, имея в виду фишинговые звонки, сгенерированные ИИ, которые могут имитировать коллег с пугающей точностью. «Вы можете выполнить это за копейки с хорошо продуманной системой подсказок, и вы можете выполнять это массово. Это и есть страшная часть ИИ.»
Конкуренция среди хакеров
Генеральный директор Immunefi сказал, что такие группы, как Лазарь, вероятно, нанимают «по крайней мере несколько сотен человек, если не несколько тысяч, работающих круглосуточно» над криптоэксплуатациями как основным источником дохода для экономики Северной Кореи. «Конкурентные давления, возникающие из годовых квот доходов Северной Кореи,» заставляют оперативников защищать отдельные активы и «превосходить коллег», а не координировать улучшения безопасности, как показал недавний отчет разведывательной службы SentinelLABS.
«Игра с атаками на основе ИИ заключается в том, что она ускоряет темп, с которым что-то может перейти от обнаружения к эксплуатации,» — сказал Амадор Decrypt.
Решения для повышения безопасности
Ответ Immunefi заключался в том, чтобы встроить ИИ непосредственно в репозитории GitHub разработчиков и CI/CD пайплайны, ловя уязвимости до того, как код попадет в производство, отметил он, предсказывая, что этот подход приведет к «резкому падению» хакерских атак в DeFi в течение одного-двух лет, потенциально сокращая инциденты на порядок.
Дмитрий Матвиев, генеральный директор платформы баг-баунти Web3 HackenProof, сообщил Decrypt, что «ручные аудиты всегда будут иметь свое место, но их роль изменится.» «Инструменты ИИ становятся все более эффективными в выявлении уязвимостей ‘низкого висячего плода’, что снижает необходимость в масштабных ручных проверках распространенных ошибок,» — сказал он.
Проблемы с баг-баунти
Чтобы защититься от атак на основе ИИ, Immunefi внедрила политику только белого списка для всех ресурсов и инфраструктуры компании, что, по словам Амадора, «очень эффективно остановило тысячи этих попыток целевой фишинговой атаки.» Но этот уровень бдительности не является практичным для большинства организаций, сказал он, отметив, что «мы можем это сделать в Immunefi, потому что мы компания, которая живет и дышит безопасностью и бдительностью. Обычные люди не могут этого сделать. У них есть жизни, которые нужно жить.»
Финансовые аспекты баг-баунти
Immunefi обеспечила более 100 миллионов долларов в виде выплат белым хакерам, с постоянными ежемесячными распределениями от 1 миллиона до 5 миллионов долларов. Однако Амадор сообщил Decrypt, что платформа «достигла предела», так как «недостаточно глаз», чтобы обеспечить необходимое покрытие по всей отрасли.
Ограничение связано не только с доступностью исследователей, так как баг-баунти сталкиваются с внутренней проблемой нулевой суммы, создающей извращенные стимулы для обеих сторон, по словам Амадора. Исследователи должны раскрывать уязвимости, чтобы доказать их существование, но они теряют все рычаги после раскрытия. Immunefi смягчает это, заключая комплексные контракты, которые определяют все до раскрытия, сказал Амадор.
Будущее безопасности в криптоиндустрии
Тем временем Матвиев сообщил Decrypt, что он не думает, что «мы близки к исчерпанию глобального пула специалистов по безопасности,» отметив, что новые исследователи присоединяются к платформам ежегодно и быстро переходят от «простых находок к высоко сложным уязвимостям.» «Проблема заключается в том, чтобы сделать пространство достаточно привлекательным с точки зрения стимулов и сообщества, чтобы эти новые лица остались.»
Баг-баунти, вероятно, достигли своего «пика эффективности» за пределами новых инноваций, которые даже не существуют в традиционных программах баг-баунти, добавил Амадор. Компания исследует гибридные решения ИИ, чтобы дать отдельным исследователям больше рычагов для аудита большего количества протоколов в масштабе, но они все еще находятся на стадии НИОКР.
Новые угрозы и вызовы
Баг-баунты остаются необходимыми, так как «разнообразное внешнее сообщество всегда будет лучше всего подготовлено для обнаружения крайних случаев, которые автоматизированные системы или внутренние команды пропускают,» отметил Матвиев, но они будут все больше работать вместе с ИИ-управляемым сканированием, мониторингом и аудитами в «гибридных моделях.»
Хотя аудиты смарт-контрактов и баг-баунты значительно развились, самые разрушительные эксплуатации все чаще обходят код полностью. Хак в Bybit на сумму 1,4 миллиарда долларов ранее в этом году подчеркнул этот сдвиг, сказал Амадор, когда атакующие скомпрометировали фронтенд-инфраструктуру Safe, чтобы заменить законные многофакторные транзакции, а не эксплуатировать какую-либо уязвимость смарт-контракта.
«Это не то, что было бы поймано с помощью аудита или баг-баунти,» — сказал он. «Это была скомпрометированная внутренняя инфраструктура системы.»
Заключение
Несмотря на улучшения безопасности в традиционных областях, таких как аудиты, CI/CD пайплайны и баг-баунты, Амадор отметил, что отрасль «не так хороша» в безопасности многофакторной аутентификации, целевой фишинговой атаке, мерах против мошенничества и защите сообщества. Immunefi запустила продукт безопасности многофакторной аутентификации, который назначает элитных белых хакеров для ручной проверки каждой значительной транзакции перед выполнением, что, по его словам, могло бы предотвратить атаку на Bybit. Но он признал, что это реактивная мера, а не превентивная.
Этот неравномерный прогресс объясняет, почему 2024 год стал худшим годом для хакерских атак, несмотря на улучшения в безопасности кода, поскольку схемы атак следуют предсказуемому математическому распределению, что делает единичные крупные инциденты неизбежными, а не аномальными, сказал Амадор. «Всегда будет один большой выброс,» — сказал он. «И это не выброс, это паттерн. Всегда будет один большой хак в год.»
Безопасность смарт-контрактов значительно развилась, сказал Матвиев, но «следующий рубеж определенно связан с более широкой атакующей поверхностью: конфигурациями многофакторных кошельков, управлением ключами, фишингом, атаками на управление и эксплуатациями на уровне экосистемы.» Эффективная безопасность требует выявления уязвимостей как можно раньше в процессе разработки, сказал Амадор Decrypt.
«Баг-баунти — это второй по стоимости вариант, самым дорогим является хак,» — сказал он, описывая иерархию затрат, которая резко возрастает на каждом этапе. «Мы ловим ошибки до того, как они попадают в производство, до того, как они даже попадают на аудит,» — добавил Амадор. «Они даже не будут включены в аудит. Они не будут тратить на это время.»
Хотя серьезность хаков остается высокой, Амадор сказал, что «частота инцидентов снижается, и уровень серьезности большинства ошибок снижается, и мы ловим все больше и больше этих вещей на более ранних стадиях цикла.» Когда его спросили, какую единственную меру безопасности должен принять каждый проект на Token2049, Амадор призвал к «Единой платформе безопасности», охватывающей несколько векторов атак. Это необходимо, так как фрагментированная безопасность фактически заставляет проекты «проводить собственные исследования» по продуктам, ограничениям и рабочим процессам, сказал он. «Мы еще не достигли той точки, где можем справляться с триллионами и триллионами активов. Мы просто еще не готовы к этому времени.»
