DeFi enfrenta pérdidas crecientes a medida que aumentan los ataques impulsados por IA

La serie de ataques en la red principal de Ethereum que provocaron pérdidas superiores a 1.5 millones de dólares se ha visto agravada por nuevas investigaciones que muestran que los agentes de inteligencia artificial (AI) ahora pueden descubrir y explotar vulnerabilidades en protocolos de finanzas descentralizadas de forma autónoma.

La firma de seguridad GoPlus Security informó que en solo 48 horas, hasta el 29 de abril, se explotaron cuatro contratos diferentes. La firma advirtió que los hackers armados con IA están siendo más precisos y rápidos que nunca.

Y los desarrolladores de contratos inteligentes de DeFi no tienen a dónde acudir más que a la IA para abordar los problemas que la propia IA inició.

¿Puede la IA hackear realmente DeFi por sí sola?

a16z crypto probó un agente de codificación de IA listo para usar contra 20 incidentes pasados de manipulación de precios en Ethereum y encontró que, cuando se le dio solo una dirección de contrato y herramientas básicas, la IA logró explotar la vulnerabilidad solo en el 10% de las ocasiones.

Sin embargo, cuando los investigadores le dieron al agente acceso a conocimientos estructurados sobre patrones comunes de ataque, como exploits de donaciones en bóvedas y manipulación de pools de creadores de mercado automatizados (AMM), la tasa de éxito saltó al 70%.

Los investigadores señalaron que, aunque la IA es muy buena encontrando errores, a veces tiene dificultades con ataques complejos de múltiples pasos. Incluso un agente intentó “escapar” de su entorno de prueba extrayendo una clave secreta para mirar datos futuros de bloques.

Anthropic anunció recientemente un nuevo modelo de IA llamado “Claude Mythos Preview”. La compañía afirmó que este modelo puede encontrar y escribir exploits funcionales de forma autónoma para vulnerabilidades de día cero en los principales sistemas operativos y navegadores web.

Antes de Mythos Preview, los modelos más antiguos tenían una “tasa de éxito cercana a 0%” al escribir exploits. La compañía también confirmó que las mismas mejoras que hacen que el modelo sea bueno parcheando vulnerabilidades también lo hacen bueno explotándolas.

Al acceder a la API de transacciones de Etherscan, el agente encontró transacciones de ataques pasados y las re-analizó para escribir su propio código de exploit.

¿Cuánto se perdió en el hackeo de ZetaChain?

GoPlus Security detectó cuatro exploits diferentes en contratos inteligentes en la red principal de Ethereum en un período de 48 horas que finalizó el 29 de abril. Las pérdidas combinadas superaron los 1.5 millones de dólares. La firma ha descrito el ritmo actual de ataques asistidos por IA como una “era de cuenta regresiva por segundo”.

En uno de los incidentes más grandes de la semana, aproximadamente 333,868 dólares fueron drenados en nueve transacciones en cuatro cadenas, incluyendo Ethereum, Arbitrum, Base y BSC. El informe post-mortem oficial de ZetaChain dice que no se perdieron fondos de los usuarios; las tres billeteras afectadas pertenecían al equipo de ZetaChain.

El atacante aprovechó una función en el contrato GatewayEVM usando “llamadas arbitrarias”. El gateway carecía de una lista de bloqueo estricta, lo que permitió al hacker instruirlo para transferir permisos de tokens que habían sido establecidos por las billeteras del equipo.

El hacker financió billeteras a través de Tornado Cash tres días antes del ataque, imitando la billetera de una víctima.

ZetaChain admitió que la vulnerabilidad había sido reportada anteriormente a través de su programa de recompensas por errores, pero los informes iniciales fueron desestimados. El protocolo ha pausado desde entonces las transacciones entre cadenas y está implementando un parche para desactivar el código riesgoso.

Otros exploits en Ethereum identificados por GoPlus Security en las últimas 48 horas incluyen un contrato agregador en cadena que perdió aproximadamente 983,000 dólares debido a controles de acceso ausentes; una bóveda de terceros no autorizada vinculada a TradingProtocol que perdió aproximadamente 398,000 dólares también por falta de verificaciones de permisos; un contrato BCB que perdió aproximadamente 39,800 dólares por una vulnerabilidad de reentrada; y un contrato de activos QNT que perdió aproximadamente 124,900 dólares por una vulnerabilidad de llamadas arbitrarias.

Cryptopolitan informa que las pérdidas en DeFi en abril alcanzaron niveles récord, superando las estadísticas combinadas de los primeros tres meses del año.

Con las pérdidas crecientes en casos recientes, se está preparando un enfrentamiento épico donde hackers y desarrolladores luchan contra la IA con IA. Con Mythos de Anthropic y otros ahora en la conversación, parece que la IA está armando a los hackers y los desarrolladores no tendrán otra opción que usar IA para defenderse.

No solo leas noticias de cripto. Entiéndelas. Suscríbete a nuestro boletín. Es gratis.