人工智能与加密货币安全
人工智能(AI)为加密货币攻击者提供了与防御者相同的工具,专家表示,这一变化正在使行业损失数十亿美元。Immunefi首席执行官米切尔·阿马多(Mitchell Amador)在新加坡Token2049会议期间接受Decrypt采访时表示,AI使得漏洞发现几乎可以瞬间转化为利用,而他公司开发的先进审计工具不再是“好人”的专属。
“如果我们有这样的工具,朝鲜的拉撒路集团能否构建类似的工具?俄罗斯和乌克兰的黑客组织能否构建类似的工具?”
答案是肯定的。阿马多表示,Immunefi的AI审计代理在绝大多数传统审计公司中表现优异,但这种能力同样也在资金充足的黑客组织的触手可及之内。他说:“审计很好,但远远不足以跟上创新的速度和攻击者不断提高的能力。”
行业现状与挑战
在2024年,整个生态系统中超过3%的总锁定价值被盗,阿马多表示,尽管安全性不再是事后考虑的问题,但项目“在如何有效投资和分配资源方面仍然感到困惑。”他补充道,行业已经从“优先级问题,这是件好事”转变为“知识和教育问题”。
阿马多指出,AI还使得复杂的社会工程攻击变得极其便宜。他提到:“你认为那通电话的成本是多少?”他指的是能够以惊人准确度模仿同事的AI生成的网络钓鱼电话。“你可以通过一个经过深思熟虑的提示系统以微不足道的成本执行这一操作,并且可以大规模执行。这就是AI的可怕之处。”
应对措施与未来展望
阿马多表示,像拉撒路这样的组织可能雇佣“至少几百人,甚至可能是几千人,全天候工作”进行加密货币攻击,作为朝鲜经济的主要收入来源。最近的一份SentinelLABS情报报告发现:“来自朝鲜的年度收入配额所带来的竞争压力”促使操作人员保护个人资产并“超越同事”,而不是协调安全改进。
阿马多告诉Decrypt:“AI驱动攻击的游戏在于,它加快了从发现到利用的速度。要防御这一点,唯一的解决方案是更快的反制措施。”Immunefi的应对措施是将AI直接嵌入开发者的GitHub代码库和CI/CD管道中,在代码进入生产环境之前捕捉漏洞。他预测,这种方法将在一到两年内引发DeFi黑客攻击的“急剧下降”,可能将事件数量减少一个数量级。
漏洞悬赏与安全人才
Web3漏洞悬赏平台HackenProof的首席执行官德米特罗·马特维夫(Dmytro Matviiv)告诉Decrypt:“手动审计将始终有其存在的价值,但它们的角色将发生变化。”他表示:“AI工具在捕捉‘低垂果实’漏洞方面越来越有效,这减少了对大规模手动审查常见错误的需求。”
为了防御AI驱动的攻击,Immunefi对所有公司资源和基础设施实施了仅限白名单的政策,阿马多表示,这一政策“非常有效地阻止了数千次这些针对特定目标的钓鱼攻击”。但他指出,这种警惕程度对大多数组织来说并不实际,“我们之所以能做到这一点,是因为我们是一家以安全和警惕为生的公司。普通人无法做到这一点,他们还有生活要过。”
未来的安全措施
Immunefi已向白帽黑客支付超过1亿美元的奖励,月度分配稳定在100万到500万美元之间。然而,阿马多告诉Decrypt,该平台“已达到极限”,因为行业内“没有足够的眼球”来提供必要的覆盖。根据阿马多的说法,这一限制不仅仅是研究人员的可用性问题,因为漏洞悬赏面临着一种内在的零和博弈问题,这为双方创造了扭曲的激励。
阿马多表示,Immunefi通过谈判全面合同来缓解这一问题,合同在披露发生之前就规定了一切。与此同时,马特维夫告诉Decrypt,他认为“我们距离耗尽全球安全人才库还远着呢”,并指出每年都有新的研究人员加入平台,并迅速从“简单发现”进步到“高度复杂的漏洞”。
“挑战在于如何使这个领域在激励和社区方面足够有吸引力,以便让这些新面孔留下来。”阿马多补充道,漏洞悬赏可能已经达到了其“效率的巅峰”,除非出现传统漏洞悬赏计划中根本不存在的新创新。
总结与展望
尽管黑客攻击的严重性仍然很高,阿马多表示:“事件发生率正在下降,大多数漏洞的严重性也在下降,我们在生命周期的早期阶段捕捉到越来越多的这些问题。”当被问及Token2049上每个项目应该采取的单一安全措施时,阿马多呼吁建立一个“统一安全平台”,以应对多种攻击向量。他表示,这一点至关重要,因为碎片化的安全本质上迫使项目“自行研究”产品、限制和工作流程。“我们还没有达到能够处理数万亿资产的地步。我们还没有达到最佳状态。”
