AI и киберугрозы: как новейшие технологии меняют ландшафт криптобезопасности и способствуют атакам на миллиарды.

AI предоставила крипто-атакующим такие же инструменты, как у защитников, и результаты приводят к убыткам в миллиарды, заявляют эксперты. Митчелл Амадор, генеральный директор Immunefi, сказал Decrypt в начале недели Token2049 в Сингапуре, что AI превратил обнаружение уязвимостей в почти мгновенную эксплуатацию, и что передовые инструменты аудита, разработанные его компанией, больше не являются эксклюзивом лишь для добрых сил.

«Если у нас есть это, может ли группа Лазаря из Северной Кореи создать подобные инструменты? Могут ли российские и украинские группы хакеров создать такие же инструменты?» — спросил Амадор. «Ответ таков, что они могут.»

AI-аудитор Immunefi превосходит подавляющее большинство традиционных аудиторских компаний, но такие же возможности доступны и хорошо профинансированным хакерским операциям, сказал он.

«Аудиты — это хорошо, но этого недостаточно для того, чтобы справляться с темпом инноваций и быстротой улучшения со стороны атакующих», — заявил он.

С более чем 3% общей суммы средств, замороженных в экосистеме, похищенными в 2024 году, Амадор сказал, что хотя безопасность больше не является второстепенным вопросом, проекты «испытали трудности с тем, как инвестировать и правильно распределять ресурсы».

Отрасль перешла от «проблемы приоритезации, что является замечательным, к тому, что это теперь проблема знаний и образования», добавил он.

AI также сделала сложные атаки социальной инженерии крайне дешевыми, по словам Амадора.

«Как вы думаете, сколько стоит этот телефонный звонок?» — сказал он, обращаясь к AI-генерируемым фишинговым звонкам, которые могут имитировать коллег с пугающей точностью. «Вы можете выполнить это за копейки с хорошо продуманной системой подсказок, и вы можете делать это в массовом порядке. Это и есть пугающая сторона AI.»

Генеральный директор Immunefi сказал, что такие группы, как Лазарь, вероятно, включают «по меньшей мере несколько сотен, если не несколько тысяч, работающих круглосуточно» над крипто-эксплойтами как основным источником дохода для экономики Северной Кореи.

«Конкуренция, возникающая из годовых квот доходов Северной Кореи», заставляет оперативников защищать индивидуальные активы и «превосходить коллег», а не координировать улучшения безопасности, как показал недавний отчет разведывательного агентства SentinelLABS.

«Игра с атаками на основе AI заключается в том, что она ускоряет скорость, с которой что-то может перейти от обнаружения к эксплуатации», — сказал Амадор Decrypt. «Чтобы защититься от этого, единственное решение — даже более быстрые контрмеры.»

Ответ Immunefi заключался в том, чтобы встроить AI прямо в репозитории GitHub и CI/CD-процессы разработчиков, поймав уязвимости до того, как код попадет в производство, отметил он, предсказывая, что этот подход приведет к «резкому снижению» хаков в DeFi в течение одного-двух лет, возможно, уменьшив инциденты на еще один порядок величины.

Дмитро Мативий, CEO платформы по вознаграждениям за ошибки Web3 HackenProof, сказал Decrypt, что «ручные аудиты всегда будут иметь свое место, но их роль изменится».

«Инструменты AI становятся все более эффективными в выявлении уязвимостей «низкого висящего плода», что снижает необходимость в масштабных ручных проверках распространенных ошибок», — сказал он. «То, что осталось, — это тонкие, зависимые от контекста проблемы, требующие глубоких человеческих знаний.»

Чтобы защититься от атак на основе AI, Immunefi внедрила политику только белых списков для всех ресурсов и инфраструктуры компании, что, по словам Амадора, «очень эффективно остановило тысячи этих попыток атак с использованием фишинга.»

Но такой уровень бдительности не является практичным для большинства организаций, сказал он, отметив, что «мы можем это сделать в Immuneify, потому что мы компания, которая живет и дышит безопасностью и бдительностью. У нормальных людей есть жизни, которые им нужно жить.»

Immunefi организовала более 100 миллионов долларов в выплатах белым хакерам, с регулярными ежемесячными распределениями от 1 до 5 миллионов долларов. Однако Амадор сообщил Decrypt, что платформа достигла «пределов», поскольку не хватает «достаточного числа глаз» для обеспечения необходимого покрытия по всей отрасли.

Ограничение связано не только с доступностью исследователей, так как вознаграждения за ошибки сталкиваются с внутренней проблемой нулевой суммы, создающей перверсивные стимулы для обеих сторон, по словам Амадора.

Исследователи должны раскрывать уязвимости, чтобы доказать их существование, но они теряют все рычаги после раскрытия. Immunefi смягчает это, ведя переговоры о всесторонних контрактах, которые все оговаривают до того, как произойдет раскрытие, сказал Амадор.

Между тем, Мативий сказал Decrypt, что не думает, что «мы близки к исчерпанию глобального пула специалистов по безопасности», отметив, что новые исследователи присоединяются к платформам ежегодно и быстро прогрессируют от «простых находок до очень сложных уязвимостей.»

«Проблема заключается в том, чтобы сделать пространство достаточно привлекательным с точки зрения стимулов и сообщества, чтобы эти новые лица остались.»

Вознаграждения за ошибки, вероятно, достигли своего «зенита эффективности» за пределами новых инноваций, которые даже не существуют в традиционных программах по вознаграждению за ошибки, добавил Амадор.

Компания исследует гибридные AI-решения, чтобы дать отдельным исследователям больше возможностей для аудита большего количества протоколов в масштабе, но они пока находятся на стадии НИОКР.

Вознаграждения за ошибки остаются важными, так как «разнообразное внешнее сообщество всегда будет лучше всего позиционировано для обнаружения крайних случаев, которые автоматизированные системы или внутренние команды пропускают», отметил Мативий, но они будут все больше работать вместе с AI-сканированием, мониторингом и аудитами в «гибридных моделях».

Самые крупные хакерские атаки происходят не из кода.

Хотя аудиты смарт-контрактов и вознаграждения за ошибки значительно развились, самые разрушительные эксплойты все чаще обходят код.

Хак 1.4 миллиарда долларов на Bybit в начале этого года подчеркивает этот сдвиг, сказал Амадор, с атакующими, которые компрометировали переднюю инфраструктуру Safe, чтобы заменить легитимные многоподписные транзакции, а не эксплуатировать какие-либо уязвимости смарт-контракта.

«Это было не то, что можно было бы поймать с помощью аудита или вознаграждения за ошибки», — сказал он. «Это была компрометированная внутренняя инфраструктурная система.»

Несмотря на улучшение безопасности в традиционных областях, таких как аудиты, CI/CD-процессы и вознаграждения за ошибки, Амадор отметил, что отрасль «не так успешна» в отношении безопасности многоподписей, атак spear phishing, мер против мошенничества и защиты сообщества.

Immunefi запустила продукт безопасности многоподписей, который назначает элитных белых хакеров для ручной проверки каждой значимой транзакции перед ее исполнением, что, по его словам, могло бы предотвратить атаку на Bybit. Но он признал, что это реактивная мера, а не превентивная.

Этот неравномерный прогресс объясняет, почему 2024 год стал худшим годом для хаков, несмотря на улучшения в безопасности кода, так как паттерны атак следуют предсказуемому математическому распределению, что делает одиночные крупные инциденты неизбежными, а не аномальными, сказал Амадор.

«Всегда будет один большой выброс», — сказал он. «И это не выброс, это паттерн. Каждый год происходит один крупный хак.»

Безопасность смарт-контрактов значительно улучшилась, сказал Мативий, но «следующий фронтир определенно касается более широких уязвимостей: конфигураций многоподписей, управления ключами, фишинга, атак на управление и экосистемных эксплойтов.»

Эффективная безопасность требует выявления уязвимостей как можно раньше в процессе разработки, сказал Амадор Decrypt.

«Вознаграждение за ошибки — это второе по затратам мероприятие, первое — это взлом», — сказал он, описывая иерархию затрат, которая значительно увеличивается на каждой стадии.

«Мы ловим ошибки до того, как они попадут в производство, до того, как они вообще попадут на аудит», — добавил Амадор. «Они даже не будут включены в аудит. Они не потратят свое время на это.»

Хотя серьезность взломов остается высокой, Амадор сказал, что «частота инцидентов снижается, и уровень серьезности большинства ошибок снижается, и мы ловим все больше и больше этих вещей на более ранних стадиях цикла.»

Когда его спросили о том, какую единственную меру безопасности каждый проект на Token2049 должен принять, Амадор призвал к «Единой Платформе Безопасности», охватывающей несколько векторов атаки.

Это жизненно важно, поскольку фрагментированная безопасность фактически заставляет проекты «проводить собственные исследования» по продуктам, ограничениям и рабочим процессам, — сказал он.

«Мы еще не достигли той точки, когда сможем управлять триллионами и триллионами активов. Мы просто не находимся на нужном уровне.»