AI安全武器竞赛
AI从根本上改变了加密货币安全格局,将复杂的攻击工具置于曾经是防御者独有的黑客手机上。 Immunefi首席执行官Mitchell Amador在新加坡的Token2049期间解释说,发现脆弱性发现几乎已成为即时剥削。他的公司开发的高级审计工具不再是安全团队独有的。
“如果有的话,朝鲜拉撒路集团可以建立类似的工具吗?俄罗斯乌克兰黑客团体可以建立类似的工具吗?”阿马多尔问。 “答案是他们可以。”这创造了令人担忧的对称性,资金丰富的黑客行动现在可以访问优于大多数传统审计公司的能力。
社会工程大众市场
也许更令人担忧的是AI如何使精致的社会工程攻击变得非常便宜。 Amador强调了AI生成的网络钓鱼电话,这些电话可以以令人不安的精度模仿同事。 “您可以用经过深思熟虑的提示系统执行便士,并且可以执行大规模的执行。这是AI的可怕部分。”
有组织的黑客行动的规模令人震惊。像拉撒路这样的团体可能会采用“至少几百个人,甚至不足的数千个工作”,以作为加密货币剥削作为朝鲜经济的主要收入来源。最近的情报报告发现,年收入配额的竞争压力推动了操作人员保护个人资产,而不是协调安全性改进。
漏洞赏金达到了极限
Immunefi已向白帽黑客提供了超过1亿美元的支出,但是Amador告诉解密该平台“达到了极限”,因为没有足够的“眼球”来在整个行业提供必要的覆盖范围。限制不仅仅是研究人员的可用性 – Bug Bounties面临着内在的零和游戏问题,为双方带来了不正当的激励措施。
研究人员必须揭示证明它们存在的脆弱性,但是一旦披露,他们就会失去所有杠杆作用。 Immunefi通过谈判在披露之前指定所有内容的全面合同来减轻这种情况。 Hackenproof首席执行官Dmytro Matviiv提供了更加乐观的视野,并指出新的研究人员每年加入平台,并迅速从简单发现到复杂的脆弱性。
攻击面扩展超出代码
尽管智能合同安全性已经成熟,但最具破坏性的利用越来越绕过代码。今年早些时候,耗资14亿美元的Bybit Hack强调了这一转变,攻击者损害了前端基础设施,以取代合法的多SIG交易,而不是利用任何智能合约脆弱性。
阿马多尔说:“那不是会被审计或漏洞赏金所抓住的东西。” “那是一个受损的内部基础设施系统。”尽管传统安全领域有所改善,但该行业对多智能安全性,长矛网络钓鱼,反SCAM措施和社区保护的行业“并没有如此热门”。
Immunefi推出了一种多智能安全产品,该产品分配了精英白帽黑客,以在执行前手动查看每笔重大交易,这将引起Bybit攻击。但是阿马多尔承认这是一种反应措施,而不是预防性。
早期检测成为关键
有效的安全需要在开发过程中尽早捕获脆弱性。 Amador描述了成本的层次结构,在每个阶段都大幅增加:“ Bug Bounty是第二昂贵的,最昂贵的是Hack。”
Immunefi的反应是将AI直接嵌入开发人员的GitHub存储库和CI/CD管道中,在代码达到生产之前捕获漏洞。 Amador预测,这种方法将在一到两年内触发Defi Hacks的“急剧下降”,可能会将事件减少到另一个数量级。
虽然黑客严重程度仍然很高,但阿马多尔指出:“发病率正在下降,大多数错误的严重程度正在下降,并且我们在周期的早期阶段正在捕获越来越多的这些东西。”
当被问及每个项目应采用什么单一的安全措施时,Amador要求使用一个“统一的安全平台”来解决多个攻击向量。零散的安全基本上迫使项目“自己进行研究”,以了解产品,限制和工作流程。
阿马多尔总结说:“我们还没有达到能够处理数万亿资产的地步。” “我们只是在黄金时刻就不在那里。”该行业仍在继续其不平衡的进展,尽管代码安全性得到了改善,但2024年成为黑客最糟糕的一年,因为黑客模式遵循可预测的数学分布,这使得单一大事件不可避免而不是异常。
关键词: