Група аналізу загроз Google нещодавно підтвердила першу у світі zero-day вразливість, повністю згенеровану штучним інтелектом. Цей експлойт успішно обходить захисти на основі двофакторної автентифікації (2FA). Це відкриття створює новий вимір ризику для безпеки криптоактивів: те, що раніше вважалося «останньою лінією оборони» — 2FA — тепер має системні слабкості при зіткненні з атакуючим кодом, згенерованим штучним інтелектом. Для індустрії криптовалют, яка покладається на 2FA для захисту приватних ключів, авторизації транзакцій і збереження активів, це не просто технічне попередження — це точка перелому у парадигмах безпеки.
Чому перша zero-day вразливість, згенерована ШІ, стала вододілом у сфері безпеки
Zero-day вразливість — це дефект безпеки, про який розробники програмного забезпечення не знають і який не виправлено, що створює для атакуючих «сліпу зону» до моменту впровадження захисту. Традиційно пошук zero-day вразливостей вимагав ручного аудиту коду, реверс-інжинірингу або «чорного ящика» тестування — це процеси, які займають багато часу та потребують високої кваліфікації. На відміну від цього, підтверджена Google вразливість була повністю згенерована моделлю штучного інтелекту. Атакуючі просто надають моделі базову інформацію про цільову систему (наприклад, специфікацію інтерфейсу модуля автентифікації), і ШІ може створити виконуваний експлойт-код протягом декількох годин. Важливо, що цей код уникає виявлення традиційними інструментами статичного аналізу, оскільки логіка, згенерована ШІ, суттєво відрізняється від відомих шаблонів атак. Це означає, що ШІ значно знижує поріг витрат і часу на знаходження zero-day, і «масове виробництво невідомих вразливостей» стає реальною загрозою.
Як ця вразливість досягла прориву в обході 2FA
Основний принцип двофакторної автентифікації — це поєднання «того, що ви знаєте» (пароль) і «того, що ви маєте» (динамічний код, апаратний ключ або біометричні дані). Zero-day, згенерована ШІ, не намагалася зламати алгоритми кодів чи перехопити SMS-канали. Натомість вона націлилася на модуль керування сесіями в процесі 2FA. Зокрема, код, згенерований ШІ, використав логічну помилку в певному open-source проміжному програмному забезпеченні автентифікації під час оновлення токена: після початкової перевірки пароля система генерує короткостроковий ідентифікатор сесії, а потім запитує код другого фактору. Експлойт-код формує послідовність пакетів запитів, які змушують систему помилково підвищити статус сесії до «повністю автентифікованої» ще до перевірки другого фактору. ШІ навіть автоматично згенерував фальшиві метадані, включаючи підроблений CVSS-бал (7,5, позначений як середній ризик), щоб уникнути ручної пріоритезації з боку команд безпеки. Це свідчить про те, що ШІ вже навчився імітувати «камуфляжні тактики», які використовують досвідчені фахівці з безпеки, затримуючи реакцію на вразливість.
Чому 2FA давно є ключовою опорою безпеки для криптоактивів
У сфері криптоактивів 2FA охоплює майже всі критичні операції: вхід на біржі, затвердження виведення коштів, створення API-ключів, керування смартконтрактами, підписання транзакцій у гаманці тощо. На відміну від традиційних фінансів, криптотранзакції незворотні — успішний обхід 2FA означає безповоротну втрату активів. Більшість провідних платформ впроваджують 2FA як обов’язковий мінімум безпеки, а користувачам постійно радять «завжди вмикати 2FA». Однак у галузі тривалий час існувала прихована передумова: зловмисники не можуть одночасно отримати і пароль, і другий фактор. Zero-day, згенерована ШІ, руйнує цю передумову — атакуючим більше не потрібно викрадати коди чи фізичні пристрої; вони експлуатують вразливості, змушуючи систему пропускати перевірку другого фактору. Це означає, що навіть при випадкових паролях, кодах, які змінюються кожні 30 секунд, чи апаратних гаманцях, що зберігаються ізольовано, якщо в процесі автентифікації є логічні помилки, які може знайти ШІ, загальна ефективність 2FA знижується до нуля.
Які конкретні загрози створюють вразливості, згенеровані ШІ, для криптобірж і DeFi-протоколів
Для централізованих бірж такі вразливості дозволяють атакуючим ініціювати запити на виведення коштів або надавати вищі дозволи API без перевірки 2FA. Оскільки біржі зазвичай дозволяють користувачам виконувати повний робочий процес через вебінтерфейс, їхні модулі керування сесіями складніші, ніж у стандартних застосунках, що розширює площину атаки. Для DeFi-протоколів ризики мають прихований характер: багато керуючих контрактів або функцій виведення з казначейства вимагають мультипідписних гаманців у парі з пристроями 2FA (наприклад, функція коду Ledger), але вразливості, згенеровані ШІ, можуть обходити перевірки 2FA на рівні фронтенду, дозволяючи атакуючим напряму викликати чутливі функції бекенду. Крім того, кросчейн-мости та агрегатори часто інтегрують кілька проміжних програм автентифікації, і кожна точка інтеграції може стати ціллю експлойтів, згенерованих ШІ. Ще більш тривожно, що сліди таких атак можуть приховуватися фальшивими логами, згенерованими ШІ, що ускладнює розслідування після інциденту.
Недооцінені структурні слабкості сучасних захистів криптобезпеки
По-перше, існує тісний зв’язок між логікою автентифікації та бізнес-логікою: більшість платформ жорстко прописують перевірки 2FA у ключових етапах транзакцій, а не ізолюють їх в окремий захисний шар. Це піддає автентифікацію впливу складності бізнес-логіки — сфери, де ШІ особливо ефективний у пошуку аномальних шляхів. По-друге, надмірна залежність від open-source компонентів: криптопроєкти широко використовують аудовані open-source бібліотеки автентифікації, але «аудит» означає лише відсутність відомих вразливостей у певних версіях; це не гарантує, що ШІ не знайде нових zero-day. По-третє, моделювання загроз не враховує атакуючих на основі ШІ: чинні тести безпеки (наприклад, пентести і fuzz-тестування) розраховані на часові й навичкові обмеження людини, тоді як ШІ може перебирати десятки тисяч комбінацій параметрів за секунди, що значно перевищує традиційне покриття. Нарешті, механізми реагування відстають: від розкриття вразливості до впровадження патчу зазвичай минає від 7 до 30 днів, але експлойти, згенеровані ШІ, можуть бути скопійовані і масово використані іншими атакуючими вже протягом 24 годин після виявлення.
Як криптоіндустрія має перебудувати середовище довіреного виконання для протидії атакам на основі ШІ
Стратегії захисту мають перейти від «припущення, що 2FA завжди ефективна» до «припущення, що автентифікація неминуче містить zero-day». По-перше, впроваджуйте безперервну поведінкову автентифікацію: не покладайтеся на разові перевірки 2FA, а аналізуйте звички користувача (рух миші, ритм набору тексту, порядок запитів) для створення динамічного ризикового балу в реальному часі, вимагаючи додаткову верифікацію при будь-яких відхиленнях. По-друге, використовуйте апаратно ізольовані модулі автентифікації: виконуйте перевірку другого фактору в середовищі довіреного виконання, повністю ізольованому від бізнес-коду (наприклад, у захищених чіпах або окремих апаратних гаманцях), щоб навіть при наявності вразливості у верхньому рівні бізнес-коду атакуючі не могли обійти апаратні перевірки. По-третє, впроваджуйте системи виявлення вразливостей на основі «ШІ проти ШІ»: використовуйте генеративний ШІ для імітації поведінки атакуючих, постійно тестуючи автентифікаційні потоки на наявність zero-day, створюючи цикл змагального навчання «червона команда ШІ проти синьої команди ШІ». По-четверте, мінімізуйте тривалість сесій: розглядайте кожен API-запит чи інструкцію до транзакції як окрему подію, що потребує незалежної автентифікації, а не покладайтеся на довготривалі токени сесій.
Нові тенденції атак на основі ШІ у криптосекторі, які можна передбачити на основі цієї події
По-перше, повністю автоматизоване виявлення та експлуатація вразливостей: у майбутньому ШІ не лише знаходить вразливості, а й автоматично генерує скрипти для обходу 2FA та впроваджує їх у фішингові сторінки чи шкідливі розширення браузера — без втручання людини. По-друге, zero-day на основі ШІ, спрямовані на смартконтракти: нинішні експлойти фокусуються на традиційних вебмодулях автентифікації, але незабаром ШІ навчатиметься аналізувати смартконтракти на Solidity чи Rust для пошуку прихованих помилок у контролі дозволів і блокуваннях повторного входу. По-третє, поєднання соціальної інженерії з генерацією коду: ШІ може створювати високонацілені фішингові листи, які вводять розробників в оману щодо завантаження залежностей із бекдором, причому сам бекдорний код генерується ШІ для обходу сигнатурного виявлення. По-четверте, композитні атаки між протоколами: ШІ може одночасно аналізувати автентифікаційні потоки кількох DeFi-протоколів, автоматично знаходячи шляхи атаки за схемою «отримати низькі привілеї у Протоколі А + підвищити у Протоколі B через вразливість» — це значно перевищує аналітичні можливості людини.
Негайні дії, які можуть знизити рівень ризику для користувачів і платформ
Для платформ необхідно зробити три кроки негайно: провести аудит усього коду керування сесіями із використанням 2FA, зосередившись на можливості обходу перевірок під час зміни стану токена; впровадити контроль ризиків у реальному часі на основі виявлення аномалій, блокуючи та сповіщаючи про будь-які запити, що отримують високі привілеї без повних 2FA-даних; увімкнути багаторівневу, взаємно незалежну автентифікацію — наприклад, вимагати і підпис апаратного гаманця, і окреме підтвердження через мобільний додаток для виведення коштів, використовуючи різні канали зв’язку. Для окремих користувачів, поки платформи не усунули вразливості: віддавайте перевагу фізичним апаратним ключам (наприклад, FIDO2) замість одноразових паролів на основі часу (TOTP), оскільки апаратні ключі складніше обійти на рівні протоколу; обмежуйте дозволи API, встановлюйте мінімально необхідні привілеї та прив’язуйте API-ключі до білого списку IP; використовуйте холодні гаманці для великих активів і забезпечуйте повну ізоляцію робочого процесу холодного гаманця від будь-якого онлайн-середовища, що вимагає 2FA.
Підсумок
Підтвердження Google першої zero-day вразливості, згенерованої ШІ, яка здатна обходити 2FA, безпосередньо підриває основну припущену безпеку, на яку довго спиралася індустрія криптоактивів. Технічна унікальність полягає в тому, що ШІ не лише знаходить помилки у керуванні сесіями, а й автоматично створює експлойт-код із підробленими ризиковими балами, що свідчить про перехід атак ШІ з теорії у практику. Для бірж, DeFi-протоколів і провайдерів гаманців латання окремих вразливостей вже не є достатнім для протидії майбутній хвилі zero-day на основі ШІ. Індустрія має докорінно перебудувати системи автентифікації: впроваджувати безперервну поведінкову автентифікацію, модулі апаратної ізоляції, змагальне навчання ШІ та мінімізувати сесійний дизайн. З боку користувачів негайне оновлення до апаратних ключів, холодного зберігання та детального керування дозволами є критично необхідним. Ця подія — не окреме попередження, а початок зміни парадигми у сфері безпеки: захист криптоактивів має перейти від «блокування відомих атак» до «постійної боротьби з вразливостями на рівні ШІ».
FAQ
Q: Чи потрібні атакуючим технічні навички для використання zero-day вразливостей, згенерованих ШІ?
Ні. Атакуючим достатньо надати специфікації інтерфейсу цільової системи або опис процесу автентифікації, і модель ШІ автоматично створить придатний експлойт-код. Це значно знижує поріг використання zero-day.
Q: Чи можуть апаратні ключі безпеки (наприклад, YubiKey) повністю захистити від таких атак?
Апаратні ключі на основі протоколу FIDO2 на фундаментальному рівні відокремлюють автентифікацію від бізнес-сесій, що робить їх значно складніше обійти через вразливості у керуванні сесіями порівняно з додатками на основі TOTP. Однак, якщо вразливість існує у самій реалізації протоколу автентифікації, а не на бізнес-рівні, апаратні ключі також можуть бути уразливими. Найбезпечніший підхід на сьогодні — поєднувати апаратні ключі з незалежним підписанням транзакцій у холодному сховищі.
Q: Як звичайний користувач може перевірити, чи його платформа усунула такі вразливості?
Користувачі не можуть перевірити це напряму. Найкраще стежити за офіційними оголошеннями про безпеку від платформ і надавати перевагу тим, які публічно зобов’язуються до змагального тестування безпеки із застосуванням ШІ та автентифікації з апаратною ізоляцією. Також варто вмикати білі списки адрес для виведення коштів і функцію відкладеного виведення для акаунтів із 2FA.
Q: Чи варто повністю відмовлятися від 2FA для криптоактивів?
Ні, але потрібні оновлення. 2FA досі захищає від більшості традиційних атак (наприклад, витоку паролів і кейлогінгу). Поки zero-day вразливості на основі ШІ не будуть широко виправлені, зберігайте 2FA як один із рівнів багаторівневого захисту, а не єдину опору. Поєднання апаратних ключів, біометрії, поведінкового аналізу та контролю лімітів транзакцій наразі є найкращою практикою.
