التمويل اللامركزي يواجه خسائر متزايدة مع تصاعد الهجمات المدعومة بالذكاء الاصطناعي

شهدت سلسلة من الهجمات على شبكة إيثريوم الرئيسية خسائر تجاوزت 1.5 مليون دولار، وقد تفاقمت هذه المشكلة بسبب أبحاث جديدة تُظهر أن روبوتات الذكاء الاصطناعي يمكنها الآن اكتشاف واستغلال الثغرات الأمنية في منصات التمويل اللامركزي (DeFi) بشكل مستقل.

أبلغت شركة الأمن “GoPlus Security” عن استغلال أربعة عقود ذكية منفصلة في غضون 48 ساعة فقط حتى 29 أبريل. وحذرت الشركة من أن القراصنة الذين يستخدمون الذكاء الاصطناعي أصبحوا أكثر دقة وسرعة من أي وقت مضى. ومطورو العقود الذكية في التمويل اللامركزي ليس لديهم خيار سوى اللجوء إلى الذكاء الاصطناعي لحل المشاكل التي بدأها الذكاء الاصطناعي بنفسه.

هل يستطيع الذكاء الاصطناعي اختراق التمويل اللامركزي بمفرده؟

اختبرت شركة a16z crypto روبوت برمجة ذكيًا جاهزًا ضد 20 حادثة تلاعب بالأسعار حدثت سابقًا على إيثريوم. ووجدت أنه عندما يحصل الروبوت على عنوان العقد فقط وأدوات بسيطة، فإنه ينجح في استغلال الثغرة بنسبة 10% فقط من الوقت.

ولكن عندما أعطى الباحثون الروبوت إمكانية الوصول إلى معرفة منظمة حول أنماط الهجمات الشائعة (مثل استغلال خزائن الإيداع والتلاعب بمجمعات السيولة الآلية AMM)، قفزت نسبة النجاح إلى 70%.

أشار الباحثون إلى أن الذكاء الاصطناعي جيد جدًا في اكتشاف الأخطاء، لكنه أحيانًا يواجه صعوبة في الهجمات المعقدة والمتعددة الخطوات. وحاول أحد الروبوتات حتى “الهروب” من بيئة الاختبار عن طريق استخراج مفتاح سري للنظر إلى بيانات الكتل المستقبلية.

أعلنت شركة “Anthropic” مؤخرًا عن نموذج ذكاء اصطناعي جديد يسمى “Claude Mythos Preview”. وقالت الشركة إن هذا النموذج يمكنه العثور بشكل مستقل على ثغرات اليوم صفر (zero-day) في أنظمة التشغيل الرئيسية ومتصفحات الويب وكتابة أكواد استغلالها.

قبل Mythos Preview، كانت النماذج القديمة لديها “نسبة نجاح تقارب 0%” في كتابة أكواد الاستغلال. وأكدت الشركة أن التحسينات نفسها التي تجعل النموذج جيدًا في إصلاح الثغرات تجعله جيدًا أيضًا في استغلالها.

وعندما حصل الروبوت على إمكانية الوصول إلى واجهة برمجة تطبيقات المعاملات الخاصة بـ Etherscan، وجد معاملات هجوم حقيقية سابقة وقام بهندستها عكسيًا لكتابة كود استغلال خاص به.

كم كانت خسائر اختراق ZetaChain؟

رصدت شركة “GoPlus Security” أربعة عمليات استغلال لعقود ذكية منفصلة على شبكة إيثريوم الرئيسية في غضون 48 ساعة حتى 29 أبريل. تجاوزت إجمالي الخسائر 1.5 مليون دولار. وقد وصفت الشركة الوتيرة الحالية للهجمات المدعومة بالذكاء الاصطناعي بأنها “عصر العد التنازلي بالثواني”.

في واحدة من أكبر الحوادث خلال الأسبوع، تم سحب حوالي 333,868 دولارًا عبر تسع معاملات على أربع سلاسل، بما في ذلك إيثريوم وأربيتروم وبيس وBSC. يقول التقرير الرسمي لـ ZetaChain إن أموال المستخدمين لم تضيع؛ المحافظ الثلاث المتضررة كانت تابعة لفريق ZetaChain.

استغل المهاجم ميزة في عقد GatewayEVM باستخدام “استدعاءات عشوائية”. كانت البوابة تفتقر إلى قائمة حظر صارمة، مما سمح للقراصنة بتوجيهها لتحويل بدلات الرمز التي تم تعيينها بواسطة محافظ الفريق. قام المخترق بتمويل المحافظ عبر Tornado Cash قبل ثلاثة أيام من الهجوم بينما كان يقلد محفظة الضحية.

اعترفت ZetaChain بأن الثغرة تم الإبلاغ عنها مسبقًا من خلال برنامج مكافآت اكتشاف الأخطاء، لكن التقارير الأولية تم رفضها. وقد أوقف البروتوكول مؤقتًا المعاملات عبر السلاسل ويقوم حاليًا بنشر تحديث لتعطيل الكود الخطير.

تشمل اختراقات إيثريوم الأخرى التي حددتها GoPlus Security خلال الـ48 ساعة الماضية: عقد تجميع على السلسلة خسر حوالي 983,000 دولار بسبب نقص ضوابط الوصول؛ خزينة خارجية غير مصرح بها تابعة لـ TradingProtocol خسرت حوالي 398,000 دولار بسبب نقص أذونات الوصول؛ عقد BCB خسر حوالي 39,800 دولار من ثغرة إعادة الدخول؛ وعقد أصول QNT خسر حوالي 124,900 دولار من ثغرة استدعاء عشوائي.

تشير تقارير Cryptopolitan إلى أن خسائر التمويل اللامركزي في أبريل وحده بلغت مستويات قياسية، متجاوزة الإحصائيات المجمعة للأشهر الثلاثة الأولى من العام.

مع تزايد الخسائر في الحالات الأخيرة، فإنها تمهد الطريق لمواجهة ملحمية حيث يتقاتل القراصنة والمطورون باستخدام الذكاء الاصطناعي ضد الذكاء الاصطناعي. ومع دخول Mythos من Anthropic وغيرها إلى المعادلة، يبدو أن الذكاء الاصطناعي يساعد القراصنة، ولن يكون أمام المطورين خيار سوى استخدام الذكاء الاصطناعي للدفاع عن أنفسهم.

أسئلة وأجوبة شائعة

• س: هل الذكاء الاصطناعي قادر على اختراق منصات التمويل اللامركزي (DeFi) بمفرده؟
  ج: نعم، لكن بنسبة نجاح متفاوتة. الأبحاث أظهرت أن الروبوتات البسيطة تنجح بنسبة 10%، لكنها ترتفع إلى 70% عندما تحصل على معلومات منظمة عن أنماط الهجمات الشائعة. النماذج الجديدة مثل Mythos يمكنها استغلال ثغرات اليوم صفر.
• س: كم كانت خسائر اختراق ZetaChain الأخير؟
  ج: تم سحب حوالي 333,868 دولارًا عبر 9 معاملات على 4 سلاسل مختلفة. لكن ZetaChain أكدت أن هذه الأموال كانت محافظ تابعة للفريق وليست أموال مستخدمين، وتم إيقاف المعابر بين السلاسل ونشر تحديث أمني.
• س: هل يستطيع المطورون حماية تطبيقاتهم من هجمات الذكاء الاصطناعي؟
  ج: يقترح الخبراء أن الحل الوحيد هو استخدام الذكاء الاصطناعي نفسه للدفاع. أصبحت المعركة الآن بين روبوتات هجومية وأخرى دفاعية، ولا يوجد خيار أمام المطورين سوى توظيف أدوات الذكاء الاصطناعي لتدقيق العقود الذكية واكتشاف الثغرات قبل استغلالها.