Introducción
Bitslab ha desarrollado un agente de auditoría de IA de vanguardia, BitsLabAI Scanner, diseñado específicamente para analizar y proteger aplicaciones Web3. Recientemente probamos esta tecnología en la competencia pública de auditoría de SuiDex, obteniendo resultados sobresalientes. BitslabAI Scanner, gracias a su escáner impulsado por IA, superó a la mayoría de los auditores en la competencia, ayudando a nuestro equipo a obtener el segundo puesto.
Contexto
El ecosistema Web3 está expandiéndose a una velocidad asombrosa y los contratos inteligentes se vuelven cada vez más complejos. Si bien esta innovación es emocionante, también trae consigo riesgos de seguridad significativos, especialmente en ecosistemas emergentes como Sui. Auditar contratos inteligentes escritos en Move es una tarea ardua, ya que, en comparación con el mundo EVM, carece de suficiente historial de vulnerabilidades y herramientas maduras.
Para abordar esta brecha crítica de seguridad, Bitslab desarrolló un agente de IA de vanguardia, BitsLabAI Scanner, específicamente para analizar y proteger aplicaciones Web3. Recientemente probamos esta tecnología en la competencia pública de auditoría de SuiDex, obteniendo resultados sobresalientes. BitslaAI Scanner, gracias a su escáner impulsado por IA, superó a la mayoría de los auditores en la competencia, ayudando a nuestro equipo a obtener el segundo puesto. Esto demuestra la poderosa capacidad de BitsLabAI Scanner para descubrir vulnerabilidades de seguridad críticas que podrían pasar desapercibidas sin la ayuda de la IA.
¿Por qué creamos BitsLabAI Scanner con un enfoque en la seguridad?
El mundo de la seguridad on-chain está experimentando una transformación radical impulsada por la IA fundamental. Aunque los modelos de lenguaje grandes (LLMs) de uso general hoy en día ya tienen la capacidad de realizar análisis preliminares de código de contratos inteligentes, a menudo carecen de la especialización y el pensamiento adversarial necesarios para una auditoría de seguridad rigurosa. Estos modelos son buenos asistentes, pero no son auditores.
Para cerrar esta brecha crítica, creamos una arquitectura multinivel centrada en la seguridad: BitslabAI Scanner. No es un único modelo grande, sino un sistema integrado donde varios componentes de IA especializados trabajan en conjunto. Cada componente está diseñado para abordar desafíos específicos en la seguridad de contratos inteligentes:
● Análisis semántico de código: comprende la intención y lógica del código, yendo más allá de la sintaxis para captar el propósito comercial del contrato.
● Detección de vulnerabilidades: entrenado con grandes conjuntos de datos de vulnerabilidades conocidas y patrones anti-patterns, abarcando desde ataques de reentrada hasta vectores complejos de manipulación económica.
● Simulación de ataques: un componente avanzado intenta generar y verificar de forma autónoma posibles rutas de ataque para confirmar si las vulnerabilidades teóricas pueden ser explotadas realmente.
Este enfoque integrado permite que la IA descubra defectos lógicos complejos y vectores de ataque ocultos, que tanto la IA generalista como las auditorías manuales suelen pasar por alto. Al combinar la velocidad y escala de la IA con la precisión de los expertos en seguridad, nuestro marco logra un análisis más profundo y completo, proporcionando protección proactiva para la nueva generación de aplicaciones Web3.
Del concepto a la práctica: el verdadero poder de BitslabAI Scanner
La capacidad de BitslabAI Scanner radica en superar las limitaciones del análisis estático tradicional. No se limita a verificar si el código contiene una lista de vulnerabilidades conocidas, sino que simula el proceso de pensamiento de un investigador de seguridad de primer nivel. Analiza no solo lo que realmente hace el código, sino también lo que podría verse obligado a hacer. Esto incluye comprender incentivos económicos, posibles casos límite y nuevas técnicas de ataque que requieren pensamiento adversarial para ser detectadas.
Este enfoque profundo y contextual fue la base de nuestro éxito en la auditoría de SuiDex. La IA no solo proporciona una lista de posibles problemas, sino que entrega un conjunto de insights ejecutables priorizados que guían directamente a los expertos en auditoría hacia las vulnerabilidades más críticas. A continuación, se presentan las capacidades clave que respaldaron este análisis, junto con casos concretos de SuiDex:
● Detección automatizada de vulnerabilidades: escanea contratos en busca de vulnerabilidades comunes y poco frecuentes, incluyendo reentradas, desbordamientos de enteros, problemas de control de acceso y errores de precisión.
● Comprensión contextual: analiza la interacción entre diferentes módulos dentro del contrato y llamadas externas, identificando defectos lógicos que pueden surgir bajo dependencias complejas.
● Precisión y exactitud: minimiza los falsos positivos al máximo, garantizando al mismo tiempo una alta precisión en la identificación de riesgos reales.
● Escalabilidad: capaz de auditar eficientemente grandes bases de código complejas, aplicable a todo tipo de proyectos blockchain.
Enfrentando desafíos: hallazgos clave que superaron a los auditores en la competencia de SuiDex
En el análisis impulsado por IA del protocolo SuiDex, logramos resultados sobresalientes, identificando múltiples vulnerabilidades que podrían poner en riesgo la integridad de la plataforma y los fondos de los usuarios. Finalmente, señalamos 7 vulnerabilidades críticas y 3 vulnerabilidades de alto riesgo, demostrando la profundidad del análisis.
Aunque la lista completa permanece confidencial, los siguientes casos representativos ilustran claramente la capacidad de la IA:
1. Hallazgo clave: sistemas matemáticos incompatibles en la aritmética central (SUIDEXCA-122)
● Problema: la biblioteca matemática de punto fijo del protocolo utiliza dos sistemas matemáticos incompatibles. A nivel lógico, emplea descomposición binaria (potencias de 2) para los cálculos, pero el estándar de precisión del protocolo se basa en el sistema decimal (potencias de 10). Ejecutar operaciones binarias en un marco decimal es como mezclar metros y pies en la misma fórmula sin convertir las unidades.
● Impacto: todas las operaciones de multiplicación y división no triviales producirán resultados impredecibles y erróneos. Es una bomba de tiempo que puede destruir la confiabilidad del AMM, causar grandes discrepancias financieras y pérdida de confianza de los usuarios.
Este hallazgo demuestra que la IA puede detectar defectos matemáticos profundos, y no solo vulnerabilidades superficiales de código.
2. Hallazgo clave: bandera incorrecta en la lógica de Swap
● Problema: la función clave responsable de ejecutar el intercambio de Token A → Token B llama a una biblioteca interna para calcular la cantidad de entrada requerida, pero pasa un parámetro codificado erróneamente, haciendo que la biblioteca crea que está ejecutando el intercambio en la dirección opuesta (Token B → Token A).
● Impacto: este pequeño error provoca que el protocolo calcule incorrectamente la cantidad de entrada para cada transacción, lo que puede resultar en precios injustos o fallos directos en las operaciones, afectando gravemente la funcionalidad central del DEX.
Este hallazgo demuestra la capacidad de la IA para analizar el contexto entre funciones. No analiza funciones de forma aislada, sino que rastrea la ruta completa de ejecución, identificando contradicciones lógicas clave.
3. Hallazgo de alto riesgo: vulnerabilidad de emisión infinita de tokens (SUIDEXCA-30)
● Problema: la lógica de cálculo del tiempo para los tokens de recompensa contiene un error sutil, que no limita correctamente la emisión según el plan de 3 años establecido.
● Impacto: el protocolo acuñará nuevos tokens indefinidamente, superando ampliamente el cronograma previsto. Esto destruirá por completo el modelo económico del token, provocará inflación, eliminará el valor del token y violará los compromisos con la comunidad.
Este caso demuestra que la IA puede analizar la lógica de negocio y sus consecuencias económicas a largo plazo, protegiendo así la integridad financiera del protocolo.
Nuestro informe detallado fue compartido oportunamente con el equipo de desarrollo de SuiDex, quienes confirmaron estos hallazgos y tomaron medidas inmediatas para corregirlos.
No solo el segundo puesto: el valor y significado detrás de BitslabAI Scanner
El excelente desempeño de BitslabAI Scanner en la competencia de auditoría de SuiDex, logrando el segundo puesto y descubriendo numerosas vulnerabilidades críticas y de alto riesgo, demuestra su capacidad avanzada. Este logro no solo valida la eficacia de BitslabAI Scanner en auditorías de seguridad de contratos inteligentes, sino que también refuerza nuestro compromiso de construir un futuro seguro y descentralizado.
A medida que el ecosistema blockchain continúa expandiéndose, la demanda de soluciones de seguridad potentes y eficientes solo crecerá, y BitslabAI Scanner está listo para enfrentar este desafío y mirar hacia el futuro.
