امنیت قراردادهای هوشمند در خطر؛ AI Anthropic تهدیدی ارزان و قدرتمند!

خلاصه خبر

• توسعه‌دهندگان شرکت Anthropic با استفاده از هوش مصنوعی توانستند حملات واقعی به قراردادهای هوشمند را شبیه‌سازی و بازآفرینی کنند.
• مدل‌های هوش مصنوعی موفق شدند در ۱۹ مورد از ۳۴ قرارداد، حملات را بازسازی و مجموعاً ۴.۶ میلیون دلار ارزش شبیه‌سازی‌شده استخراج کنند.
• هزینه انجام هر حمله توسط هوش مصنوعی اکنون بسیار پایین و کمتر از هزینه یک فنجان قهوه شده است.
• آسیب‌پذیری‌ها اغلب ساده هستند و حتی توسعه‌دهندگان مجرب نیز ممکن است آنها را نادیده بگیرند.
• کارشناسان هشدار می‌دهند روش‌های سنتی بررسی امنیت قراردادهای هوشمند دیگر کافی نیست و باید به سرعت به سمت استفاده از عامل‌های هوشمند برای تست امنیت پیش رفت.

امنیت قراردادهای هوشمند زیر ضربه: حملات ارزان و سریع با هوش مصنوعی

در سال‌های اخیر، موضوع امنیت قراردادهای هوشمند به شکل چشمگیری اهمیت یافته است. اما حالا با پیشرفت سریع هوش مصنوعی، خطری جدید به این حوزه وارد شده است. شرکت Anthropic، یکی از فعالان برجسته هوش مصنوعی، موفق شده نمونه‌هایی از حملات پیچیده به قراردادهای هوشمند را با استفاده از عامل‌های هوشمند خود به طور کامل شبیه‌سازی کند. آنها با استفاده از مدل‌هایی مانند Claude Opus 4.5 و GPT-5، قراردادهای آسیب‌پذیری را هدف قرار دادند که پیشتر واقعا در زنجیره بلاک‌چین هک شده بودند.

در آزمایش اخیر، عامل‌های هوش مصنوعی Anthropic روی ۳۴ قرارداد هوشمند که پیش از این مورد بهره‌برداری قرار گرفته بودند، آزمایش شدند. نتیجه شگفت‌انگیز بود: این عامل‌ها بدون اینکه اطلاعاتی از حملات واقعی داشته باشند، در ۱۹ مورد موفق شدند همان حمله‌ها را بازسازی کنند و مبلغ شبیه‌سازی‌شده ۴.۶ میلیون دلار استخراج نمایند. این یعنی الگوریتم‌ها توانسته‌اند از منطق کد قراردادها سر درآورند، ترکیب‌های پیچیده تراکنش را امتحان کنند و حمله‌ای موفقیت‌آمیز رقم بزنند؛ همه این‌ها کاملاً خودکار و در کوتاه‌ترین زمان ممکن.

پیش از این، کشف چنین آسیب‌پذیری‌هایی به دانش و زمان زیادی نیاز داشت و هزینه‌های بالایی در بر داشت. اما حالا با هوش مصنوعی، هزینه هر حمله به طور میانگین فقط ۱.۲۲ دلار برآورد می‌شود. این رقم نسبت به ماه‌های گذشته هم کاهش پیدا کرده است و پیش‌بینی می‌شود هزینه شناسایی آسیب‌پذیری‌ها با پیشرفت مدل‌ها باز هم کمتر شود.

خطر رشد هوش مصنوعی برای امنیت قراردادهای هوشمند

در گذشته، امنیت قراردادهای هوشمند اغلب با اتکا به بازبینی انسانی و گزارش‌های حسابرسی تأمین می‌شد. اما حالا این روند کافی نیست. هوش مصنوعی با سرعت بسیار بیشتر و هزینه بسیار کمتر توانسته است کد قراردادها را تحلیل کند و آسیب‌پذیری‌های جدید و حتی ناشناخته را بیابد. برای نمونه، یکی از حملات موفق اخیر مربوط به یک توکن پاداش بود که تنها به خاطر فراموش شدن یک اصلاح ساده در کد، امکان سوءاستفاده را برای مهاجمان فراهم کرد. این آسیب‌پذیری به هوش مصنوعی اجازه داد تا موجودی توکن را به طور نامحدود افزایش دهد و سپس آن را به فروش برساند.

با توجه به پیشرفت چشم‌گیر مدل‌های یادگیری ماشین، مدت زمان بین راه‌اندازی یک قرارداد هوشمند و کشف اولین آسیب‌پذیری در حال کوتاه شدن است. پژوهش‌ها نشان می‌دهد که هوش مصنوعی می‌تواند درآمد حاصل از بهره‌برداری از آسیب‌پذیری‌ها را هر ۱.۳ ماه دو برابر کند. این روند افزایشی به معنی آن است که فرصت زمان‌بندی برای دفاع‌کنندگان کمتر از همیشه شده و مدل‌های سنتی بازرسی دیگر پاسخگو نیستند.

متخصصان پیشنهاد می‌کنند توسعه‌دهندگان قراردادهای هوشمند باید روندهای خودکارسازی و بررسی امنیت توسط مدل‌های پیشرفته را وارد فرایند توسعه نمایند. اکنون ابزاری مثل SCONE-bench، به تیم‌ها اجازه می‌دهد تا قبل از راه‌اندازی رسمی، قراردادها را به کمک هوش مصنوعی روی شبکه‌های آزمایشی محک بزنند و نقاط ضعف را پیش از مهاجمان بیابند.

چطور باید در برابر تهدیدهای جدید قراردادهای هوشمند مقاوم شویم؟

برای حفظ امنیت قراردادهای هوشمند در دوران پیشرفته هوش مصنوعی، باید استراتژی‌های جدید و مؤثرتری به کار گرفته شود. در گام نخست، ادغام ابزارهای بررسی خودکار و تست مبتنی بر یادگیری ماشین با فرآیند توسعه و انتشار قراردادها ضروری است. به این معنا که هر تغییری در کد مالی قرارداد باید بلافاصله تحت آزمون‌های هوشمندانۀ امنیتی قرار بگیرد تا احتمال رخنه‌های تازه به حداقل برسد.

دومین راهکار، کوتاه کردن فاصله زمانی میان کشف باگ و رفع آسیب‌پذیری است. چون اکنون عامل‌های هوشمند می‌توانند در کمتر از یک ساعت راه نفوذ پیدا کنند، تیم توسعه باید در پاسخ‌گویی و رفع ایرادات هم سرعت عمل بالایی داشته باشد؛ ابزارهایی مثل کلید توقف یا زمان‌بندی انتشار تدریجی می‌توانند بسیار کمک‌کننده باشند.

در نهایت، لازم است توسعه‌دهندگان و شرکت‌های فعال در حوزه بلاک‌چین نگاه خود را به امنیت قراردادهای هوشمند تغییر دهند. دیگر بررسی‌های یکباره و گزارش‌های دوره‌ای کافی نیست. باید امنیت را یک فرآیند پویا و دائمی دانست که نیازمند نظارت مستمر و اجرای آزمون‌های هوشمندانه است. استفاده از عامل‌های هوش مصنوعی به عنوان بخشی از فرآیند تست و توسعه، می‌تواند این امنیت را تا حد زیادی تضمین کند و فاصله میان انتشار کد و شناسایی حملات را به حداقل برساند.

در پایان می‌توان گفت که امنیت قراردادهای هوشمند وارد دوران جدیدی شده است که دشمنان نه فقط افراد خبره، بلکه عامل‌های هوشمند و قدرتمند هوش مصنوعی هستند. دفاع در این نبرد جدید، مستلزم تجهیز تیم‌ها به فناوری‌های روز و اجرای فرآیندهای خودکار و هوشمند برای آزمون مداوم کدها است. هر چه سریع‌تر به این تغییر رویکرد پاسخ دهیم، شانس بقای پروتکل‌ها و دارایی‌های دیجیتال بالاتر خواهد بود.