Klaidų bountai pasiekė ribas, nes AI kripto įsilaužėliai yra lygiaverčiai

Ekspertai teigia, kad AI perdavė kriptovaliutų užpuolikus, kuriuos naudoja tie patys įrankiai, o rezultatai kainuoja milijardus.

Mitchell Amador, „Immunefi“ generalinis direktorius, pasakojo Iššifruoti Prasidėjus „Token2049“ savaitei Singapūre, kad AI pavertė pažeidžiamumo atradimą į beveik instanto išnaudojimą ir kad jo įmonės pastatytos pažangios audito įrankiai nebėra išskirtiniai geriems vaikinams.

„Jei mes tai turime, ar Šiaurės Korėjos Lazarus grupė gali sukurti panašius įrankius? Ar Rusijos Ukrainos įsilaužėlių grupės gali sukurti panašius tokius įrankius?” – paklausė Amadoras. „Atsakymas yra tas, kad jie gali”.

Jis sakė, kad „Immunefi“ AI audito agentas pralenkia didžiąją dalį tradicinių audito firmų, tačiau tos pačios galimybės yra prieinamos gerai finansuojamoms įsilaužimo operacijoms.

„Auditai yra puikūs, tačiau jis nėra pakankamai arti, kad neatsiliktų nuo inovacijų ir užpuolikų sudėtingo pagerėjimo tempo“, – sakė jis.

Užrakinta daugiau nei 3% visos vertės pavogtas per ekosistemą 2024 m. Amadoras teigė, kad nors saugumas nebėra pasvarstytas, projektai „stengiasi žinoti, kaip investuoti ir kaip efektyviai paskirstyti išteklius“.

Pramonė perėjo nuo „prioritetų nustatymo problemos, kuri yra nuostabus dalykas, į tai yra žinių ir švietimo problema“, – pridūrė jis.

Anot „Amador“, PG taip pat surengė sudėtingas socialinės inžinerijos išpuolius purvą pigiai.

„Kiek, jūsų manymu, kainuoja tas telefono skambutis?” Jis sakė, remdamasis AI sukeliamais sukčiavimo skambučiais, kurie gali apsimesti kolegomis su trikdančiu tikslumu. „Galite įvykdyti tai centams su gerai apgalvota raginimų sistema. Galite vykdyti tas EN masės. Tai yra baisi AI dalis.”

„Immunefi“ generalinis direktorius teigė, kad tokios grupės kaip Lozorius greičiausiai įdarbina „bent kelis šimtus vaikinų, jei ne, jei ne, tūkstančiai žmonių, dirbančių visą parą,„ Crypto “išnaudojimą kaip pagrindinį Šiaurės Korėjos ekonomikos pajamų šaltinį.

„Konkurencinis spaudimas, atsirandantis dėl Šiaurės Korėjos metinių pajamų kvotų, skatina darbuotojus, siekiant apsaugoti individualų turtą, ir„ pralenkia kolegas “, o ne koordinuoja saugumo patobulinimus, neseniai „Sentinellabs“ žvalgybos ataskaita rasta.

„Žaidimas su AI varomomis atakomis yra tas Iššifruoti. „Ginti nuo to, vienintelis sprendimas yra dar greitesnės atsakomosios priemonės”.

„Immunefi“ atsakymas buvo tiesiogiai įterpti į AI į kūrėjų „GitHub“ saugyklas ir CI/CD vamzdynus. Defi Hacks per vienerius ar dvejus metus, o tai gali sumažinti incidentus kita masto tvarka.

DMYTRO MATVIIV, „Web3 Bug Bounty“ platformos „HackenProof“ generalinis direktorius, pasakojo Iššifruoti Tas „rankinis auditas visada turės vietą, tačiau jų vaidmuo pasikeis“.

„PG įrankiai vis efektyviau gaudo„ žemai kabančius vaisių “pažeidžiamumus, o tai sumažina didelio masto rankinių peržiūrų poreikį peržiūrėti bendrąsias klaidas“,-sakė jis. „Lieka subtilūs, nuo konteksto priklausomi klausimai, reikalaujantys gilios žmogaus patirties“.

Siekdamas apsiginti nuo AI varomų išpuolių, „Immunefi“ įgyvendino tik visų įmonės išteklių ir infrastruktūros baltaodžių politiką, kuri, pasak Amadoro, „labai efektyviai sulaikė tūkstančius šių bandymų sukčiavimo sukčiavimo metodų“.

Tačiau šis budrumo lygis nėra praktiškas daugumai organizacijų, sakė jis, pažymėdamas: „Mes galime tai padaryti imunitete, nes esame įmonė, gyvenanti ir kvėpuojanti saugumu bei budrumu. Normalūs žmonės to negali padaryti. Jie gyvena gyvenimui“.

Klaidų bountai atsitrenkė į sieną

„Immunefi“ palengvino 100 milijonų dolerių išmokos „White-Hat“ įsilaužėliams, kurių nuolatiniai mėnesiniai paskirstymai svyruoja nuo 1 iki 5 milijonų dolerių. Tačiau, pasak Amadoro Iššifruoti Tai, kad platforma „pataikė į ribas“, nes nėra „pakankamai akių obuolių“, kad būtų užtikrinta būtina aprėptis visoje pramonėje.

Apribojimas nėra susijęs tik su tyrėjo prieinamumu, nes klaidų laužai susiduria su vidine „Zero-Sum“ žaidimo problema, kuri sukuria iškreiptas paskatas abiem pusėms, teigia Amador.

Tyrėjai turi atskleisti pažeidžiamumus įrodyti, kad jie egzistuoja, tačiau jie praranda visą svertą, kai tik atskleista. „Immunefi“ tai sušvelnina derantis dėl išsamių sutarčių, nurodančių viską prieš atskleidžiant atskleidimą, sakė Amadoras.

Tuo tarpu Matviivas pasakojo Iššifruoti Tai, kad jis nemano, kad „mes esame niekur artėjame prie pasaulinio saugumo talentų fondo išeikvojimo“, pažymėdami, kad nauji tyrėjai kasmet prisijungia prie platformų ir greitai pereina iš „paprastų išvadų iki labai sudėtingų pažeidžiamumų“.

„Iššūkis yra padaryti erdvę pakankamai patrauklią paskatų ir bendruomenės prasme tiems naujiems veidams.”

„Amador“ pridūrė, kad klaidų bountai greičiausiai pasiekė savo „Zenith efektyvumo“ ribų, ne naujų naujovių, kurių net nėra tradicinėse klaidų palaimos programose.

Bendrovė tiria hibridinius AI sprendimus, kad atskiriems tyrėjams būtų suteikta didesnė sverta, kad būtų galima atlikti daugiau protokolų mastu, tačiau jie išlieka MTTP.

Klaidų bountai išlieka būtini kaip „įvairialypė, išorinei bendruomenei, visada bus geriausia, kad būtų galima atrasti kraštinius atvejus, kai automatizuotos sistemos ar vidinės komandos praleis“,-pažymėjo Matviiv, tačiau jie vis dažniau dirbs kartu su AI varomu nuskaitymu, stebėjimu ir auditu „Hibridiniuose modeliuose“.

Didžiausi įsilaužimai nėra iš kodų

Kol protinga sutartis Auditai ir klaidų bountai smarkiai subrendo, labiausiai niokojantys išnaudojimai vis labiau apeina kodą.

1,4 milijardo dolerių bitų hack Anksčiau šiais metais pabrėžė šį poslinkį, sakė Amadoras, kai užpuolikai kompromituoja „Safe“ priekinę infrastruktūrą, kad pakeistų teisėtus daugialypius sandorius, o ne išnaudotų bet kokį intelektualią sutarčių pažeidžiamumą.

„Tai nebuvo kažkas, kas būtų buvęs sugautas atliekant auditą ar klaidų palaimą“, – sakė jis. „Tai buvo pažeista vidaus infrastruktūros sistema“.

Nepaisant saugumo patobulinimų tradicinėse srityse, tokiose kaip auditas, CI/CD vamzdynai ir klaidų bountai, Amador pažymėjo, kad pramonė „nedaro taip karštai“ dėl daugialypės saugumo, ieties sukčiavimo, kovos su scamomis priemonės ir bendruomenės apsauga.

„Immunefi“ išleido daugiapakopį saugos produktą, kuris paskiria elitinius baltų skrybų įsilaužėlius rankiniu būdu peržiūrėti kiekvieną reikšmingą operaciją prieš vykdymą, kuris, jo teigimu, būtų sugavęs bitų ataką. Tačiau jis pripažino, kad tai reaktyvi priemonė, o ne prevencinė priemonė.

Ši nelygi pažanga paaiškina, kodėl 2024 tapo Blogiausi metai įsilaužiams Nepaisant kodo saugumo patobulinimų, nes įsilaužimo modeliai seka nuspėjamą matematinį pasiskirstymą, todėl pavieniai dideli incidentai yra neišvengiami, o ne anomalūs, sakė Amadoras.

„Visada bus vienas didelis pranašumas“, – sakė jis. „Ir tai nėra pašalinis, tai yra modelis. Visada yra vienas didelis įsilaužimas per metus.”

„Matviiiv“ teigė, kad „Smart“ sutarčių saugumas smarkiai subrendo, tačiau „kita siena tikrai yra aplink platesnį atakos paviršių: daugialypės piniginės konfigūracijos, raktų valdymas, sukčiavimo apsimetant, valdymo atakos ir ekosistemos lygio išnaudojimai“.

Efektyvus saugumas reikalauja kuo anksčiau sugauti pažeidžiamumą, – sakė Amadoras Iššifruoti.

„Bug Bounty yra antras brangiausias, brangiausias yra įsilaužimas“, – sakė jis, apibūdindamas išlaidų hierarchiją, kuri kiekviename etape dramatiškai didėja.

„Mes sugauname klaidas, kol jie nesulaukia gamybos, kol jie net nepataikė į auditą“, – pridūrė Amadoras. „Tai niekada net nebus įtraukta į auditą. Jie negaištų savo laiko.”

Nors „Hack“ sunkumas išlieka didelis, Amadoras teigė, kad „sergamumo lygis mažėja, o daugumos klaidų sunkumo lygis mažėja, ir mes vis daugiau šių dalykų sugauname ankstesniuose ciklo etapuose“.

Paklaustas, kokią vieną saugumo priemonę turėtų priimti kiekvienas „Token2049“ projektas, Amadoras paragino sukurti „vieningą saugos platformą“, kreipdamasis į kelis atakų vektorius.

Jis sakė, kad tai labai svarbu, nes suskaidytas saugumas iš esmės verčia projektus „atlikti patys“ apie produktus, apribojimus ir darbo eigas.

„Mes dar nesame iki to laiko, kai galime tvarkyti trilijonus ir trilijonus turto. Mes tiesiog ne visai ten geriausiu metu.”