イーサリアムメインネットに対する一連の攻撃により、150万ドル以上の損失が発生したが、新たな研究により、人工知能(AI)エージェントが自律的に脆弱性を発見し、分散型金融プロトコルの脆弱性を悪用できることが明らかになった。セキュリティ企業GoPlus Securityは、4つの異なるコントラクトがわずか48時間で悪用されたと報告した。同社は、AIを武器にしたハッカーがこれまで以上に正確かつ迅速になっていると警告している。そしてDeFiのスマートコントラクト開発者は、AI自体が始めた問題に対処するために、AI以外に頼る場所がなくなっている。AIは本当にDeFiを自律的にハッキングできるのか?a16z cryptoは、Ethereum上の過去の価格操作事件20件に対して市販のAIコーディングエージェントをテストし、コントラクトアドレスと基本的なツールだけを与えた場合、脆弱性を悪用できたのはわずか10%だった。しかし、研究者がエージェントに、ボールト寄付の悪用や自動マーケットメイカー(AMM)プール操作などの一般的な攻撃パターンに関する構造化された知識へのアクセスを許可すると、成功率は70%に跳ね上がった。研究者は、AIはバグを見つけるのは非常に得意だが、複雑で多段階の攻撃には時折苦戦することを指摘した。あるエージェントは、未来のブロックデータを見るために秘密鍵を抽出し、テスト環境から「脱出」しようと試みた。Anthropicは最近、「Claude Mythos Preview」という新しいAIモデルを発表した。同社は、このモデルが主要なOSやWebブラウザのゼロデイ脆弱性に対して自律的に脆弱性を見つけ出し、実行可能なエクスプロイトを書き出せると述べている。Mythos Preview登場以前の古いモデルは、エクスプロイトの作成において「ほぼ0%の成功率」だった。同社はまた、脆弱性の修正に優れるようにした改善点と、エクスプロイトに優れるようにした改善点が同じであることも確認した。EtherscanのトランザクションAPIにアクセスさせると、エージェントは実際の過去の攻撃トランザクションを見つけ出し、それらを逆解析して自分自身のエクスプロイトコードを書き出した。ZetaChainのハッキングでどれだけ失われたのか?GoPlus Securityは、4つの異なるスマートコントラクトの悪用を4月29日までの48時間以内に指摘した。合計損失額は150万ドルを超えた。同社は、AI支援攻撃の現在のペースを「秒単位のカウントダウン時代」と表現している。今週の大きな事件の一つでは、約33万3,868ドルがイーサリアム、Arbitrum、Base、BSCを含む4つのチェーン上の9つのトランザクションで流出した。ZetaChainの公式ポストモーテムレポートによると、ユーザ資金は失われておらず、影響を受けた3つのウォレットはZetaChainのチームのものであった。攻撃者は、「任意の呼び出し」を利用したGatewayEVMコントラクトの機能を悪用した。ゲートウェイには厳格なブロックリストがなく、ハッカーはそれに指示を出して、チームウォレットによって設定されたトークン許容量を転送させた。攻撃者は、攻撃の3日前にTornado Cashを通じてウォレットに資金を送金し、被害者のウォレットを模倣した。ZetaChainは、この脆弱性は以前にバグバウンティプログラムを通じて報告されていたが、最初の報告は却下されたと認めた。その後、クロスチェーン取引を一時停止し、リスクのあるコードを無効にするパッチを展開している。GoPlus Securityが過去48時間で特定した他のEthereumのエクスプロイトには、アクセス制御の欠如により約98万3,000ドルを失ったオンチェーンアグリゲーターコントラクト、TradingProtocolに関連し許可チェックの欠如により約39万8,000ドルを失った第三者のバルト、リエントランシー脆弱性により約3万9,800ドルを失ったBCBコントラクト、任意呼び出し脆弱性により約12万4,900ドルを失ったQNT資産コントラクトが含まれる。Cryptopolitanは、4月のDeFi損失額が記録的な水準に達し、今年の最初の3か月の合計を超えたと報告している。最近のケースで損失が増加する中、ハッカーと開発者がAIとAIで戦う壮大な対決が始まろうとしている。AnthropicのMythosや他のモデルが会話に加わることで、AIがハッカーを武装させている状況になっており、開発者は自己防衛のためにAIを使わざるを得なくなる見込みだ。ただの暗号ニュースを読むだけでなく、それを理解しよう。私たちのニュースレターに登録しよう。無料です。
DeFiはAI駆動の攻撃の激化に伴い損失が増加しています
イーサリアムメインネットに対する一連の攻撃により、150万ドル以上の損失が発生したが、新たな研究により、人工知能(AI)エージェントが自律的に脆弱性を発見し、分散型金融プロトコルの脆弱性を悪用できることが明らかになった。
セキュリティ企業GoPlus Securityは、4つの異なるコントラクトがわずか48時間で悪用されたと報告した。同社は、AIを武器にしたハッカーがこれまで以上に正確かつ迅速になっていると警告している。
そしてDeFiのスマートコントラクト開発者は、AI自体が始めた問題に対処するために、AI以外に頼る場所がなくなっている。
AIは本当にDeFiを自律的にハッキングできるのか?
a16z cryptoは、Ethereum上の過去の価格操作事件20件に対して市販のAIコーディングエージェントをテストし、コントラクトアドレスと基本的なツールだけを与えた場合、脆弱性を悪用できたのはわずか10%だった。
しかし、研究者がエージェントに、ボールト寄付の悪用や自動マーケットメイカー(AMM)プール操作などの一般的な攻撃パターンに関する構造化された知識へのアクセスを許可すると、成功率は70%に跳ね上がった。
研究者は、AIはバグを見つけるのは非常に得意だが、複雑で多段階の攻撃には時折苦戦することを指摘した。あるエージェントは、未来のブロックデータを見るために秘密鍵を抽出し、テスト環境から「脱出」しようと試みた。
Anthropicは最近、「Claude Mythos Preview」という新しいAIモデルを発表した。同社は、このモデルが主要なOSやWebブラウザのゼロデイ脆弱性に対して自律的に脆弱性を見つけ出し、実行可能なエクスプロイトを書き出せると述べている。
Mythos Preview登場以前の古いモデルは、エクスプロイトの作成において「ほぼ0%の成功率」だった。同社はまた、脆弱性の修正に優れるようにした改善点と、エクスプロイトに優れるようにした改善点が同じであることも確認した。
EtherscanのトランザクションAPIにアクセスさせると、エージェントは実際の過去の攻撃トランザクションを見つけ出し、それらを逆解析して自分自身のエクスプロイトコードを書き出した。
ZetaChainのハッキングでどれだけ失われたのか?
GoPlus Securityは、4つの異なるスマートコントラクトの悪用を4月29日までの48時間以内に指摘した。合計損失額は150万ドルを超えた。同社は、AI支援攻撃の現在のペースを「秒単位のカウントダウン時代」と表現している。
今週の大きな事件の一つでは、約33万3,868ドルがイーサリアム、Arbitrum、Base、BSCを含む4つのチェーン上の9つのトランザクションで流出した。ZetaChainの公式ポストモーテムレポートによると、ユーザ資金は失われておらず、影響を受けた3つのウォレットはZetaChainのチームのものであった。
攻撃者は、「任意の呼び出し」を利用したGatewayEVMコントラクトの機能を悪用した。ゲートウェイには厳格なブロックリストがなく、ハッカーはそれに指示を出して、チームウォレットによって設定されたトークン許容量を転送させた。
攻撃者は、攻撃の3日前にTornado Cashを通じてウォレットに資金を送金し、被害者のウォレットを模倣した。
ZetaChainは、この脆弱性は以前にバグバウンティプログラムを通じて報告されていたが、最初の報告は却下されたと認めた。その後、クロスチェーン取引を一時停止し、リスクのあるコードを無効にするパッチを展開している。
GoPlus Securityが過去48時間で特定した他のEthereumのエクスプロイトには、アクセス制御の欠如により約98万3,000ドルを失ったオンチェーンアグリゲーターコントラクト、TradingProtocolに関連し許可チェックの欠如により約39万8,000ドルを失った第三者のバルト、リエントランシー脆弱性により約3万9,800ドルを失ったBCBコントラクト、任意呼び出し脆弱性により約12万4,900ドルを失ったQNT資産コントラクトが含まれる。
Cryptopolitanは、4月のDeFi損失額が記録的な水準に達し、今年の最初の3か月の合計を超えたと報告している。
最近のケースで損失が増加する中、ハッカーと開発者がAIとAIで戦う壮大な対決が始まろうとしている。AnthropicのMythosや他のモデルが会話に加わることで、AIがハッカーを武装させている状況になっており、開発者は自己防衛のためにAIを使わざるを得なくなる見込みだ。
ただの暗号ニュースを読むだけでなく、それを理解しよう。私たちのニュースレターに登録しよう。無料です。