Forklog
2026-07-09 09:13:13

Эксперты призвали перепроверить старые смарт-контракты из-за ИИ

Криптопроектам нужно регулярно пересматривать старые смарт-контракты, поскольку ИИ-инструменты ускоряют поиск уязвимостей и сокращают срок актуальности разовых аудитов. Об этом пишет Cointelegraph со ссылкой на TRM Labs и отчет CertiK. В комментарии изданию Ари Редборд из TRM Labs отметил, что методы атак меняются быстрее, чем это может учесть аудит, проведенный при запуске протокола. «Наши данные говорят в пользу непрерывной проверки», — подчеркнул он. В отчете за первое полугодие аналитики CertiK указали, что потери Web3-сектора составили около $1,32 млрд по 344 инцидентам. С учетом замороженных и возвращенных средств компания оценила чистый ущерб примерно в $1,2 млрд. Главным вектором по числу инцидентов стали уязвимости в коде: CertiK зафиксировала 204 таких случая на $151,6 млн. Компания отдельно отметила рост доли атак на контракты старше одного года. По ее оценке, это указывает на систематический возврат злоумышленников к старым базам, а не только к недавно запущенным проектам. Почему старые аудиты перестают быть достаточными Смарт-контракт может оставаться активным годами после первичного аудита. За это время меняются инструменты поиска багов, появляются новые техники эксплуатации, а старые протоколы могут терять команды поддержки и внимание аудиторов. В CertiK предупредили, что «окно максимальной уязвимости» не закрывается после запуска. По оценке компании, проекты со старой инфраструктурой должны рассматривать повторный аудит как регулярное операционное требование. При этом специалисты не утверждают, что рост атак на старые контракты уже доказанно вызван ИИ. В отчете говорится, что такой паттерн, вероятно, поддерживается улучшением автоматизированных инструментов для поиска скрытых уязвимостей в больших объемах кода. TRM Labs в собственном обзоре зафиксировала 207 хакерских атак за шесть месяцев — рекорд для ее выборки. При этом общий ущерб составил $972 млн, что меньше половины показателя за аналогичный период 2025 года. Аналитики объяснили разрыв структурой атак: большинство инцидентов пришлось на эксплойты в смарт-контрактах — 125 из 207 случаев. Однако основной ущерб принесли не они, а крупные инфраструктурные и операционные компрометации, включая атаки на ключи, подписи и системы управления средствами. На них пришлось около 15% инцидентов, но примерно 76% украденных активов. Отдельный фактор — активность связанных с КНДР группировок. По оценке TRM Labs, они похитили около $643 млн, или примерно две трети всех украденных средств в первом полугодии. Почти весь этот ущерб пришелся на две апрельские атаки — против Drift Protocol и KelpDAO. Кейс Zcash В качестве примера издание привело инцидент с Zcash. 29 инженер по безопасности Тейлор Хорнби обнаружил критическую уязвимость в пуле Orchard — одном из ключевых компонентов приватных транзакций. Она существовала с момента активации Orchard в мае 2022 года до экстренного исправления, развернутого 1 июня 2026 года. Ошибка могла позволить незаметно создавать неограниченное количество поддельных ZEC внутри пула. Из-за его приватной природы команда не смогла криптографически доказать, использовалась ли уязвимость до исправления. При этом Shielded Labs указала, что считает такой сценарий маловероятным. Тем не менее это пример показывает, что даже проверенный код с многолетней историей может содержать дефекты. Как ИИ меняет поиск уязвимостей Рост эффективности ИИ в этой области фиксирует и Anthropic. Компания опубликовала исследование о способности ИИ-агентов находить и эксплуатировать уязвимости в смарт-контрактах. На бенчмарке SCONE-bench агенты проверяли 405 реально взломанных контрактов за 2020–2025 годы. На части набора с уязвимостями после даты отсечения знаний модели результат за год вырос с 2% до 55,88%. Совокупная стоимость успешно смоделированных эксплойтов увеличилась с $5000 до $4,6 млн. Anthropic также оценила среднюю стоимость полного сканирования одного контракта на уязвимости в $1,22. Компания предупредила, что по мере снижения цены и роста возможностей агентов окно между появлением дефектного кода и его эксплуатацией будет сокращаться. В Cointelegraph отдельно указали на атаки против протоколов, которые уже закрыты или ограничили работу для пользователей. Так, злоумышленник вывел около $2,19 млн из Aztec Connect — решения для приватных транзакций, поддержка которого была прекращена еще в 2023 году. Ранее авторы отчета Google Threat Intelligence Group зафиксировали рост популярности ИИ среди киберпреступников. Подразделение впервые обнаружило хакера, который использовал ошибку нулевого дня, разработанную с помощью искусственного интеллекта. Он планировал применить ее для массовой атаки, однако экспертам корпорации удалось предотвратить угрозу. Напомним, в ноябре 2025 года специалисты Google пришли к выводу, что несколько новых семейств вредоносных программ используют большие языковые модели для хакерских атак.

Crypto 뉴스 레터 받기
면책 조항 읽기 : 본 웹 사이트, 하이퍼 링크 사이트, 관련 응용 프로그램, 포럼, 블로그, 소셜 미디어 계정 및 기타 플랫폼 (이하 "사이트")에 제공된 모든 콘텐츠는 제 3 자 출처에서 구입 한 일반적인 정보 용입니다. 우리는 정확성과 업데이트 성을 포함하여 우리의 콘텐츠와 관련하여 어떠한 종류의 보증도하지 않습니다. 우리가 제공하는 컨텐츠의 어떤 부분도 금융 조언, 법률 자문 또는 기타 용도에 대한 귀하의 특정 신뢰를위한 다른 형태의 조언을 구성하지 않습니다. 당사 콘텐츠의 사용 또는 의존은 전적으로 귀하의 책임과 재량에 달려 있습니다. 당신은 그들에게 의존하기 전에 우리 자신의 연구를 수행하고, 검토하고, 분석하고, 검증해야합니다. 거래는 큰 손실로 이어질 수있는 매우 위험한 활동이므로 결정을 내리기 전에 재무 고문에게 문의하십시오. 본 사이트의 어떠한 콘텐츠도 모집 또는 제공을 목적으로하지 않습니다.