rbc.ru
Представители традиционных и мировых центробанков увидели угрозу в новых возможностях искусственного интеллекта (ИИ), способных находить бреши в компьютерных системах. Это произошло на фоне тестирования Claude Mythos Preview — экспериментального ИИ‑инструмента от компании Anthropic, который уже продемонстрировал способность находить множество критических уязвимостей во всех ключевых операционных системах и браузерах. И это вынуждает крипторынок переосмыслить все системы безопасности уже сейчас, чтобы не стать мишенью для нейростей.
Как раз в момент появления Mythos в публичных обсуждениях, крипторынок столкнулся с чередой взломов, затронувших инфраструктурные уязвимости. Как оказалось, «дыры» в безопасности блокчейн-решений лежат не столько в коде смарт-контрактов, сколько в обслуживающей их инфраструктуре — системах управления ключами доступа, ценовых оракулах и межсетевых мостах, которые традиционные аудиты редко учитывают при оценке риска.
Первые тревожные комментарии об угрозах со стороны новых моделей ИИ поступили не со стороны крипторынка, а традиционных финансов. Глава Банка Англии и председатель Совета по финансовой стабильности (FSB) Эндрю Бейли назвал ситуацию «очень серьезным вызовом» и подчеркнул, что регуляторам придется в ускоренном порядке оценить киберриски для глобальной финансовой системы. Его поддержала президент Европейского центрального банка (ЕЦБ) Кристин Лагард. Она оценила Mythos как пример разработки, попадание которой «в неправильные руки» может иметь катастрофические последствия.
Руководители JPMorgan, Morgan Stanley, BNY и Citigroup также подтвердили, что, работая с бета-версией Mythos, фиксируют «массу уязвимостей, которые нужно исправить». Хотя параллельно они изучают и потенциальные выгоды в плане повышения эффективности инфраструктуры и киберзащиты.
Только в апреле злоумышленники нанесли крипторынку ущерб как минимум на $570 млн, используя уязвимости в межсетевых мостах и сложные схемы с применением социальной инженерии. А накопленная с начала года сумма таких потерь составляет около $800 млн. Наиболее заметным с точки зрения последствий для отрасли стал взлом межсетевого моста Kelp DAO на $290 млн. Ситуация вызвала проблемы не только для клиентов Kelp, но и для пользователей крупнейшего кредитного протокола Aave, а также для десятков протоколов на крипторынке, которые приостановили или ограничили работу протоколов.
Таким образом децентрализованные финансы (DeFi) одновременно испытали и последствия системных проблем в секторе, и волну опасений по поводу возможностей ИИ. И некоторые исследователи связывают резкий рост числа успешных атак с появлением мощных нейросетей, в частности, Mythos.
Новая реальность для DeFi
Традиционныи банки могут экстренно «залатать» найденные с помощью ИИ уязвимости, но DeFi-протоколы оказались в более уязвимом положении. Их архитектура подразумевает открытость и неизменяемость кода. И если ИИ находит критическую ошибку в смарт-контракте, исправить ее мгновенно невозможно. В этом случае редко удается согласовать все за часы, чаще всего процесс занимает дни.
С точки зрения безопасности еще хуже то, что проекты в DeFi работает на во многом схожих инфраструктурных механизмах, при сбое которых могут пострадать сразу несколько взаимосвязанных решений.
«Композитность — это то, что делает DeFi капиталоэффективным и инновационным.Но это также означает, что незначительная уязвимость в одном протоколе может стать критическим вектором для потенциального заражения всей экосистемы», – заявил глава службы безопасности компании Gauntlet Пол Виджендер, которая управляет рисками для Aave.
Виджендер добавил, что размышляя над ИИ-угрозами для криптопроектов, он больше переживает за «человеческий и инфраструктурный» слой безопасности. И его слова как раз указывают на две главные уязвимости апреля, которые обошлись совокупно более чем $570 млн менее чем за месяц.
Основатель Aave Стани Кулечов отметил, что нет ничего удивительно в том, что злоумышленники используют ИИ, так как «это просто эволюция инструментов, которыми они пользуются», вскрывая старые баги, которые раньше были не актуальны. Но Кулечов также указал, что те же самые инструменты дадут и разработчикам возможность проводить лучшие и более жесткие стресс-тесты для своих проектов.
Мнение основателя Aave поддержал основатель крупнейшей децентрализованной биржи Uniswap Хайден Адамс из Uniswap. Он отметил, что проекты, не использующие новые инструменты сегодня «окажутся в зоне наибольшего риска».