Bug Kontrak Pintar Telah Menguras Kripto Bernilai Miliar Dolar. Morpheus mungkin adalah AI pertama yang pernah dibuat untuk mencegah hal itu.

Mari kita mulai dengan angka yang akan membuat semua pengembang kripto tidak nyaman.
3,8 miliar dolar.
Jumlah uang yang dicuri melalui eksploitasi kontrak pintar pada protokol kripto pada tahun 2022 bahkan lebih besar! Bukan crash pasar. Bukan penipuan rug pull. Kerentanan kode. Baris-baris Solidity yang melakukan hal-hal yang tidak dimaksudkan oleh pembuatnya ditemukan oleh penyerang sebelum pengembang yang menulisnya.
Jembatan Wormhole adalah 320 juta dolar. Satu kondisi validasi tidak valid ditemukan.
Jembatan Ronin adalah 625 juta dolar. Kompromi kunci pribadi, karena keputusan yang dibuat dalam arsitektur kontrak.
Euler Finance. 197 juta dolar. Kerentanan reentrancy yang lolos beberapa audit.
Semua proyek ini dikembangkan dengan cerdas. Auditor keamanan profesional. Pengujian ekstensif. Dan miliaran lagi yang hilang!
Saya sedang memikirkan "bagaimana" dan "mengapa" kejadian ini terus berulang. Saya semakin yakin, semakin tidak nyaman jawaban yang muncul.
Ada masalah batasan manusia dalam keamanan kontrak pintar.
Ini yang saya maksud.
Sebuah aplikasi DeFi besar bisa membutuhkan dari 10.000 hingga 50.000 baris kode Solidity. Hubungan antar beberapa kontrak. Input yang tidak biasa yang hanya terjadi dalam kombinasi dan/atau urutan yang tidak biasa. Serangan yang melibatkan lebih dari sekadar kode, tetapi juga apa yang menguntungkan penyerang.
Auditor manusia oke saja. Yang terbaik benar-benar luar biasa.
Namun manusia lelah. Manusia kehilangan hal saat mereka terburu-buru! Mereka bisa mendapatkan gambaran yang baik tentang apa yang dilakukan kode, tanpa membayangkan semua kemungkinan serangan yang bisa dilakukan terhadapnya.
Bagian yang benar-benar menjadi masalah bagi saya adalah ini.
Kebanyakan bug kontrak pintar bukanlah zero-day terbaru, melainkan cukup sepele untuk ditemukan. Sebagian besar dari mereka sudah didokumentasikan selama bertahun-tahun dan dikenal pola kerentanan seperti reentrancy, overflow integer, kegagalan kontrol akses.
Pola yang sudah dikenal. Solusi yang sudah diketahui. Berulang kali, dan dengan biaya besar, hal ini tidak terlihat oleh reviewer manusia manapun.
Ini bukan masalah bakat. Itu masalah skala dan konsistensi.
Tidak praktis bagi manusia untuk menghafal setiap pola kerentanan yang diketahui dan sekaligus menyelidiki pola kode baru. Ini bukan tujuan kita, pemrosesan paralel.
AI adalah.
Di sinilah Morpheus benar-benar menarik perhatian saya.
Morpheus bukan asisten AI tujuan umum, melainkan satu yang kebetulan tahu sedikit Solidity. Dikembangkan sebagai ahli Insinyur Kontrak Pintar dengan tujuan tunggal untuk mengetahui kerentanan apa saja, bagaimana mereka digunakan dalam serangan, dan “cara melakukan” praktik terbaik beserta kejadian tak terhitung bagaimana kode kripto telah dieksploitasi selama bertahun-tahun.
Sebagian besar waktu, keahlian ini tidak dipahami sebaik seharusnya.
Sama seperti review kontrak pintar yang bisa menggunakan model AI umum, ini seperti memiliki ahli bedah umum jenius melakukan operasi otak. Mereka bisa mendeteksi masalah yang mudah terlihat. Namun, tingkat pengenalan pola yang dikembangkan melalui spesialisasi dan bertahun-tahun pelatihan pada ribuan kasus kerentanan, post mortem serangan, dan riset keamanan yang berbeda.
Model spesialis tidak hanya sadar akan tindakan kode, tetapi juga niatnya. Ia sadar apa yang mungkin bisa dilakukan kode oleh individu adversarial.
Perbedaan antara review kode dan review keamanan.
Tapi ada beberapa batasan yang harus saya jujur.
Alat keamanan AI sama baiknya dengan data pelatihannya. Jika Morpheus dilatih menggunakan pola kerentanan historis sebagian besar waktu, ia akan sangat efektif mendeteksi vektor serangan yang sudah diketahui. Jenis serangan baru lebih sulit karena belum didokumentasikan dan belum dieksekusi.
Jangan lupa masalah kepercayaan. Tidak mengherankan jika pengembang kontrak pintar skeptis terhadap alat keamanan baru. Konsekuensi dari false negative (ketika kerentanan tidak terdeteksi) bisa spektakuler. Gesekan dan frustrasi pengembang adalah biaya dari false positives yang menandai kode aman sebagai tidak aman.
Butuh waktu untuk membangun kepercayaan pengembang terhadap alat keamanan AI. Itu membutuhkan waktu.
Lalu, ada masalah adaptasi secara adversarial. Saat keamanan AI menjadi norma, penyerang juga akan mengikuti. Mereka akan mencari pola yang tidak terdeteksi oleh model AI. Keamanan selalu menjadi perlombaan senjata dan membawa AI ke pertahanan tidak menghentikan perlombaan itu, hanya mengubah apa yang mereka optimalkan.
Tapi Morpheus tidak bisa dikatakan tidak berguna karena hal-hal tersebut. Nilai proposisi tertentu.
Peretasan kontrak pintar tidak akan sepenuhnya diberantas oleh Morpheus. Yang bisa dilakukan adalah membuat pengiriman kode yang jelas rentan menjadi lebih sulit secara konsisten, mengidentifikasi pola berulang, dan membantu mengurangi waktu yang dihabiskan auditor manusia untuk risiko yang sudah diketahui, sehingga mereka bisa menghabiskan waktu langka mereka untuk risiko baru yang semuanya membutuhkan penilaian manusia.
Itu adalah hal yang cukup signifikan.
3,8 miliar dolar pada tahun 2022. Jika 20% dari kerentanan tersebut ditemukan sebelumnya, dan tetap berada di dompet pengguna daripada alamat penyerang, itu berarti 760 juta dolar tetap di dompet pengguna.
Tantangan bagi ekosistem OpenLedger adalah apakah Morpheus dapat membangun reputasi dan kepercayaan pengembang serta menjadi langkah prasyarat wajib dalam proses pengembangan kontrak pintar, bukan pilihan.
Setelah mencapai itu, ini adalah infrastruktur dalam arti paling literal.
Jenis yang tidak terlihat saat sedang aktif dan sangat merugikan saat tidak aktif.
Apakah Anda pernah terdampak secara pribadi oleh peretasan atau kontrak pintar yang dieksploitasi? Menurut Anda, apa yang bisa dilakukan alat keamanan AI untuk mencegahnya?