Что нового?

Новости ИИ ускоряет взлом криптопроектов через устаревший код

Новости

vitel59

Местный
Регистрация
15 Май 2026
Сообщения
355
Реакции
56
Coin
9,236
Искусственный интеллект кардинально сокращает период эффективности аудитов безопасности в криптовалютной индустрии. Хакеры активно используют кодовые базы прекративших работу или неактивных протоколов децентрализованных финансов (DeFi), находя уязвимости, которые считались исправленными, и похищая миллионы долларов средств клиентов.

ИИ меняет правила игры

Традиционно аудит безопасности проводился вручную или с использованием ограниченных инструментов, и считалось, что его результаты остаются актуальными в течение нескольких месяцев. Однако с развитием ИИ-инструментов, способных анализировать большие объемы кода за считанные минуты, ситуация изменилась:

- скорость анализа: ИИ может сканировать устаревшие смарт-контракты и находить уязвимости, которые уже были теоретически исправлены, но остались в кодовых базах заброшенных проектов.
- автоматизация эксплуатации: Нейросети способны не только находить баги, но и генерировать эксплойты — код для их использования.
- масштабирование: Один хакер с ИИ-инструментом может атаковать десятки протоколов одновременно, тогда как раньше для этого требовалась целая команда специалистов.

Особую опасность представляют DeFi-платформы, которые прекратили работу, но чьи смарт-контракты остались активными в блокчейне. Пользователи нередко оставляют средства в таких протоколах, полагаясь на старые аудиты, а команда проекта уже не мониторит безопасность.

ИИ позволяет хакерам:
- быстро находить заброшенные контракты с известными уязвимостями;
- автоматически проверять, есть ли в них замороженные средства;
- взламывать их через комбинацию старых и новых векторов атак.

За последние 12 месяцев зафиксировано несколько инцидентов, где общая сумма похищенного превысила $50 млн, и во всех случаях злоумышленники использовали ИИ для ускоренного анализа кода.

Пример из практики

В одном из недавних случаев исследователи обнаружили, что ИИ смог за 4 часа найти уязвимость в смарт-контракте протокола, который был заморожен 3 года назад и прошел три аудита. На ручной поиск аналогичной проблемы у человека ушла бы неделя. Это демонстрирует, как технологии сокращают "окно уязвимости" с месяцев до часов.

Последствия для отрасли

- ускоренное устаревание аудитов:
То, что считалось безопасным год назад, теперь может быть взломано за день.
- необходимость непрерывного мониторинга: Компании вынуждены внедрять системы, которые отслеживают активность в сети в реальном времени.
- рост затрат на безопасность: Постоянное обновление кода и повторные аудиты становятся обязательными, что особенно тяжело для малых проектов.

Пользователям:

- не оставлять средства в заброшенных или неактивных протоколах;
- перед использованием платформы проверять дату последнего аудита и активность команды;
- рассматривать страхование DeFi-депозитов как дополнительную меру защиты.
 
Тут проблема даже не только в ИИ, а в ложном ощущении, что “аудит был — значит всё ок”. В DeFi это и раньше работало так себе, а теперь вообще почти не работает без постоянного сопровождения.

Особенно верно подмечено про мёртвые протоколы. Контракт в блокчейне никуда не исчезает, даже если команда распалась, сайт умер, твиттер молчит, а в пулах ещё лежат деньги. Для атакующего это почти идеальная цель: код известен, реакции со стороны команды не будет, пользователи расслаблены.

ИИ тут реально усиливает атакующего по трём направлениям сразу:
- быстрее ищет слабые места;
- помогает находить повторяющиеся паттерны багов в форках и старых репах;
- снижает порог входа для менее квалифицированных злоумышленников.

Самое неприятное — старые аудиты теперь становятся не “гарантией”, а просто исторической справкой на момент проверки. Если код не мониторится, зависимости устарели, архитектура форкалась сто раз, а команда исчезла, то бумажка про аудит мало что значит.

Для пользователей вывод простой: смотреть нужно не только на наличие аудита, но и на признаки жизни проекта — коммиты, обновления, реакцию команды, багбаунти, on-chain активность. Если протокол “законсервирован”, хранить там средства — это уже почти ставка на удачу.
 
Жуткий тренд на самом деле, теперь нейросети шерстят древний код как голодные пираньи и находят дыры быстрее, чем разрабы успевают моргнуть. Раньше думали что старый проверенный контракт это бетонная стена, а теперь это просто забытый сейф с дырой в задней стенке, который ИИ вскрывает за обед. Мораль для пацанов простая - хранить бабки в мертвых протоколах это так себе идея, даже если там трижды был аудит вековой давности.
 
Сверху Снизу