Bug Bounties Når Grensene Ettersom AI Jevner Ut Spillfeltet for Kryptohackere

Kryptohacking og AI: En ny æra

AI har gitt kryptohackere de samme verktøyene som forsvarerne bruker, og resultatene koster industrien milliarder, sier eksperter. Mitchell Amador, administrerende direktør i Immunefi, fortalte Decrypt under starten av Token2049-uken i Singapore at AI har gjort sårbarhetsoppdagelse til nesten umiddelbar utnyttelse.

Utviklingen av hackingverktøy

Amador spurte: «Hvis vi har det, kan den nordkoreanske Lazarus-gruppen bygge lignende verktøy? Kan russiske og ukrainske hackergrupper bygge lignende verktøy?» Svaret er ja. Immunefis AI-revisjonsagent overgår de fleste tradisjonelle revisjonsfirmaer, men den samme kapasiteten er innen rekkevidde for godt finansierte hackingoperasjoner.

«Revisjoner er flotte, men det er langt fra nok til å holde tritt med innovasjonsraten og den sammensatte forbedringsraten til angriperne,» sa han. Med over 3 % av den totale verdien låst i stjålne midler over økosystemet i 2024, sa Amador at selv om sikkerhet ikke lenger er en ettertanke, «sliter prosjekter med å vite hvordan de skal investere og hvordan de effektivt skal tildele ressurser der.»

Sosialingeniørangrep og AI

AI har også gjort sofistikerte sosialingeniørangrep ekstremt billige, ifølge Amador. «Hvor mye tror du den telefonanropet koster?» sa han, og refererte til AI-genererte phishing-anrop som kan imitere kolleger med forstyrrende nøyaktighet. «Du kan utføre det for småpenger med et godt gjennomtenkt system av forespørsel, og du kan utføre dem i massevis. Det er den skumle delen av AI.»

Nord-Koreas hackingoperasjoner

Amador sa at grupper som Lazarus sannsynligvis sysselsetter «minst et par hundre personer, om ikke lavt tusenvis, som jobber døgnet rundt» med kryptoutnyttelser som en viktig inntektskilde for Nord-Koreas økonomi. «De konkurransedyktige pressene som stammer fra Nord-Koreas årlige inntektskvoter,» driver operatører til å beskytte individuelle eiendeler og «overgå kolleger» i stedet for å koordinere sikkerhetsforbedringer, fant en nylig SentinelLABS etterretningsrapport.

Immunefis respons og fremtidige trender

Immunefis respons har vært å integrere AI direkte i utvikleres GitHub-repositorier og CI/CD-pipelines, og fange sårbarheter før koden når produksjon. Amador spådde at denne tilnærmingen vil utløse et «bratt fall» i DeFi-hacks innen ett til to år, noe som potensielt kan redusere hendelser med en annen størrelsesorden.

Dmytro Matviiv, administrerende direktør for Web3 bug bounty-plattformen HackenProof, fortalte Decrypt at «manuelle revisjoner alltid vil ha en plass, men deres rolle vil endre seg.» «AI-verktøy er stadig mer effektive til å fange «lavthengende frukter» sårbarheter, noe som reduserer behovet for storskala manuelle gjennomganger av vanlige feil,» sa han.

Utfordringer med bug bounty-programmer

Immunefi har fasilitert over 100 millioner dollar i utbetalinger til white-hat hackere, men Amador sa at plattformen har «nådd grensene» ettersom det ikke er «nok øyne» til å gi nødvendig dekning over hele industrien. Begrensningen handler ikke bare om tilgjengeligheten av forskere, ettersom bug bounty-programmer står overfor et iboende nullsumspillproblem som skaper perverse insentiver for begge sider.

«Forskere må avsløre sårbarheter for å bevise at de eksisterer, men de mister all innflytelse når de er avslørt.»

Fremtiden for sikkerhet i kryptovaluta

Matviiv bemerket at han ikke tror «vi er noe sted nær å tømme det globale talentet innen sikkerhet,» og at nye forskere blir med på plattformer årlig. Utfordringen er å gjøre rommet attraktivt nok når det gjelder insentiver og fellesskap for at disse nye ansiktene skal bli værende.

Immunefi utforsker hybride AI-løsninger for å gi individuelle forskere større innflytelse til å revidere flere protokoller i stor skala, men disse er fortsatt i F&U. Bug bounties forblir essensielle ettersom «et mangfoldig, eksternt fellesskap alltid vil være best posisjonert til å oppdage kanttilfeller som automatiserte systemer eller interne team går glipp av,» bemerket Matviiv.

Amador konkluderte med at «det vil alltid være en stor avvik,» og at dette ikke er et avvik, men et mønster. «Det er alltid en stor hack per år.»

For å forsvare seg mot AI-drevne angrep, er den eneste løsningen enda raskere mottiltak, sa Amador. Effektiv sikkerhet krever å fange sårbarheter så tidlig som mulig i utviklingsprosessen.

Relaterte innlegg

Siste fra Blog

Tether samarbeider med Rumble for distribusjon av USAT-stablecoin

Tether og Rumble: Partnerskap for USAT Tether vender seg til videostrømmeplattformen Rumble for å rulle ut USAT, sin nyopprettede, U.S.-regulerte stablecoin, som en del av sin tilbakekomst til det amerikanske markedet. Tether,

Fra Nairobi til Lagos: Hvordan afrikanere bruker stablecoins for å overleve inflasjon

Nøkkelpunkter Stablecoins er nå hverdagsverktøy for sparing, betalinger og handel i Nairobi og Lagos. Inflasjon, valutakurssvingninger og høye pengeoverføringskostnader driver adopsjonen. Mobilpenger gjør stablecoins kjent og praktisk. Risikoene rundt reserver, svindel og

Chainlink inngår partnerskap med GLEIF for å bringe institusjonsgradert on-chain identitet til digitale eiendeler

Partnerskap mellom GLEIF og Chainlink GLEIF og Chainlink har inngått et partnerskap for å tilby en pålitelig on-chain-løsning for verifisering av de juridiske identitetene bak digitale eiendeler og smarte kontrakter. Den Globale

Catizen har fullført EU MiCAR-rammeverket i Irland og baner vei for en ny æra av GameFi-overholdelse

Catizens Milestone in EU MiCAR Compliance Ifølge offisielle kilder har Catizens hvitbok, den ledende spillplattformen i TON-økosystemet, offisielt fullført EU MiCAR (Markets in Crypto-Assets Regulation) rammeverksvarslingen hos sentralbanken i Irland. Dette gjør

Seis strategi i Asia: Først etterlevelse, deretter institusjoner

Sei Blockchain og Ekspansjon til Asia Layer-1 blockchain Sei bruker Japans lisensieringsregime og partnerskap med globale institusjoner som hjørnesteinen i sin ekspansjon til Asia, ifølge Lee Zhu, nettverkets vekstdirektør for APAC. I

Sveitsiske Sygnum lanserer BTC Alpha-fond med mål om 8-10% Bitcoin-avkastning

Sygnum lanserer BTC Alpha Fund Den sveitsiske digitale eiendomsbanken Sygnum har lansert et fond for å hjelpe investorer med å maksimere sin Bitcoin-avkastning samtidig som de opprettholder priseksponering. Torsdag 1. oktober lanserte

Etiske hackere redder kryptovaluta for milliarder: SEALs Safe Harbor gjør det mulig

Introduksjon I flere smertefulle timer i august 2022 så hvite hat-hackere nervøst på mens skurker, kjent som «black hats», stjal 190 millioner dollar fra Nomad-broen — den fjerde største kryptohackingen det året.

Jeg finansierte livsstilen min med Bitcoin, ikke Telegram: Pavel Durov

Investering i Bitcoin Grunnleggeren og administrerende direktør for meldingsappen Telegram, Pavel Durov, sier at han investerte i Bitcoin da kryptovalutaen var i sin spede begynnelse, og har siden brukt sine beholdninger til

New York-regulatoren presiserer regler om underoppbevarere og kundens eiendomssegregering

Oppdatert Veiledning om Kundebeskyttelse for Virtuelle Valutaeiendeler New York State Department of Financial Services (DFS) har utgitt oppdatert veiledning om kundebeskyttelse for virtuelle valutaeiendeler under insolvens. Denne nye veiledningen erstatter den forrige

HashKey Group vil være vert for Global On-Chain Asset Summit den 2. oktober, hvor Dr. Xiao Feng vil ha en samtale med Vitalik Buterin.

Global On-Chain Asset Summit HashKey Group arrangerer Global On-Chain Asset Summit den 2. oktober, hvor det strategiske produktet HashKey DAT Fund offisielt vil bli lansert. Dialog med Vitalik Buterin Dr. Xiao Feng