Вступ
Bitslab розробила передового AI-аудитора — BitsLabAI Scanner, спеціально призначеного для аналізу та захисту Web3-додатків. Нещодавно ми протестували цю технологію на публічному аудиторському конкурсі SuiDex, і результати були надзвичайними. BitslabAI Scanner, використовуючи сканер на базі AI, переміг більшість аудиторів, допомігши нашій команді здобути друге місце.
Огляд
Екосистема Web3 стрімко розширюється, а смарт-контракти стають дедалі складнішими. Хоча такі інновації захоплюють, вони також несуть значні ризики безпеці, особливо в нових екосистемах на кшталт Sui. Аудит смарт-контрактів, написаних на Move, є складним завданням, оскільки, порівняно зі світом EVM, бракує достатньої історії вразливостей та зрілих інструментів.
Щоб вирішити цю ключову проблему безпеки, Bitslab розробила передового AI Agent — BitsLabAI Scanner, спеціально для аналізу та захисту Web3-додатків. Нещодавно ми протестували цю технологію на публічному аудиторському конкурсі SuiDex, і результати були надзвичайними. BitslaAI Scanner, використовуючи свій AI-сканер, переміг більшість аудиторів, допомігши нашій команді здобути друге місце. Це демонструє потужну здатність BitsLabAI Scanner виявляти критичні вразливості безпеки, які без допомоги AI могли б залишитися непоміченими.
Чому ми створили BitsLabAI Scanner із пріоритетом безпеки
Світ безпеки on-chain переживає радикальні зміни, що їх стимулює фундаментальний AI. Хоча універсальні великі мовні моделі (LLMs) вже здатні до початкового аналізу коду смарт-контрактів, їм часто бракує спеціалізованого, атакуючого мислення, необхідного для суворого аудиту безпеки. Ці моделі — чудові помічники, але вони не аудитори.
Щоб подолати цю ключову прогалину, ми створили багаторівневу архітектуру з пріоритетом безпеки — BitslabAI Scanner. Це не одна велика модель, а інтегрована система, де кілька спеціалізованих AI-компонентів працюють разом. Кожен компонент спеціалізується на певних викликах у сфері безпеки смарт-контрактів:
● Семантичний аналіз коду: розуміння намірів і логіки коду, не лише на рівні синтаксису, а й у контексті бізнес-цілей контракту.
● Виявлення вразливостей: навчання на великій кількості відомих вразливостей і антипатернів, охоплюючи від атак повторного входу до складних економічних маніпуляцій.
● Моделювання атак: просунутий компонент, який самостійно генерує та перевіряє потенційні шляхи атак, щоб підтвердити, чи можна реально використати теоретичну вразливість.
Такий інтегрований підхід дозволяє AI виявляти складні логічні дефекти та приховані вектори атак, які легко пропустити як універсальним AI, так і ручному аудиту. Поєднуючи швидкість і масштабованість AI із точністю експертів із безпеки, наша система забезпечує глибший і всебічний аналіз, проактивно захищаючи нове покоління Web3-додатків.
Від концепції до практики: справжня сила BitslabAI Scanner
Сила BitslabAI Scanner полягає в тому, що він долає обмеження традиційного статичного аналізу. Він не просто перевіряє код на наявність відомих вразливостей, а моделює мислення провідного дослідника безпеки. Він аналізує не лише що саме робить код, а й що код потенційно може бути змушений зробити. Це включає розуміння економічних стимулів, потенційних граничних випадків і нових атак, які можна виявити лише з атакуючим мисленням.
Такий глибокий, контекстно-обізнаний підхід став основою нашого успіху в аудиті SuiDex. AI не просто надає список потенційних проблем, а видає пріоритезовані, виконувані інсайти, які безпосередньо ведуть аудиторів до найкритичніших вразливостей. Ось основні можливості, що лежать в основі цього аналізу, із конкретними прикладами SuiDex:
● Автоматизоване виявлення вразливостей: сканування контрактів на наявність як поширених, так і рідкісних вразливостей, включаючи повторний вхід, переповнення цілих чисел, проблеми контролю доступу та помилки точності.
● Контекстне розуміння: аналіз взаємодії між різними модулями контракту та зовнішніми викликами для виявлення логічних дефектів у складних залежностях.
● Точність і достовірність: мінімізація хибнопозитивних результатів при одночасному забезпеченні високої точності виявлення реальних ризиків.
● Масштабованість: ефективний аудит великих і складних кодових баз, придатний для різних блокчейн-проєктів.
Виклики: ключові знахідки, що перевершили аудиторів у конкурсі SuiDex
Під час AI-аналізу протоколу SuiDex ми досягли надзвичайних результатів, виявивши кілька вразливостей, які могли б поставити під загрозу цілісність платформи та кошти користувачів. У підсумку ми позначили 7 критичних вразливостей і 3 високоризикові вразливості, що демонструє глибину аналізу.
Хоча повний список залишається конфіденційним, наступні показові приклади ілюструють можливості AI:
1. Ключова знахідка: Несумісні математичні системи в основній арифметиці (SUIDEXCA-122)
● Проблема: Бібліотека фіксованої арифметики протоколу використовує дві несумісні математичні системи. На логічному рівні обчислення виконуються через двійкове розкладання (степені 2), але стандарт точності протоколу базується на десятковій системі (степені 10). Виконання двійкових операцій у десятковій системі — це як змішувати метри й футі в одній формулі без перерахунку.
● Вплив: Усі нетривіальні операції множення та ділення неминуче призводять до непередбачуваних і неправильних результатів. Це своєрідна "міна уповільненої дії", яка може повністю зруйнувати надійність AMM, спричинити значні фінансові розбіжності та втрату довіри користувачів.
Ця знахідка демонструє здатність AI виявляти глибокі математичні дефекти, а не лише поверхневі помилки коду.
2. Ключова знахідка: Неправильний прапорець логіки Swap
● Проблема: Ключова функція, що відповідає за обмін Token A → Token B, викликає внутрішню бібліотеку для обчислення необхідної суми введення, але помилково передає жорстко закодований параметр, через що бібліотека вважає, що виконується зворотний обмін (Token B → Token A).
● Вплив: Ця дрібна помилка призводить до неправильного обчислення суми введення для кожної транзакції, що може спричинити несправедливе ціноутворення або навіть провал транзакції, серйозно підриваючи основну функцію DEX.
Ця знахідка демонструє здатність AI до міжфункціонального контекстного аналізу. Він не аналізує функцію ізольовано, а відстежує повний шлях виконання, виявляючи ключові логічні суперечності.
3. Високоризикова знахідка: Вразливість до нескінченного випуску токенів (SUIDEXCA-30)
● Проблема: У логіці обчислення часу для винагородних токенів є дрібна помилка, яка не дозволяє правильно обмежити максимальний випуск згідно з трирічним планом.
● Вплив: Протокол буде безкінечно карбувати нові токени, значно перевищуючи встановлений графік. Це повністю зруйнує токеноміку проєкту, спричинить інфляцію, знецінить токени та порушить обіцянки перед спільнотою.
Цей приклад демонструє здатність AI аналізувати бізнес-логіку та її довгострокові економічні наслідки, захищаючи фінансову цілісність протоколу.
Наш детальний звіт було своєчасно передано команді розробників SuiDex, яка підтвердила ці знахідки та негайно вжила заходів для їх усунення.
Не лише друге місце: цінність і значення BitslabAI Scanner
Видатний результат BitslabAI Scanner на аудиторському конкурсі SuiDex, друге місце та виявлення великої кількості критичних і високоризикових вразливостей підтверджують його передові можливості. Це досягнення не лише доводить ефективність BitslabAI Scanner у сфері аудиту безпеки смарт-контрактів, а й зміцнює нашу відданість побудові децентралізованого безпечного майбутнього.
Із подальшим розширенням блокчейн-екосистеми потреба в потужних і ефективних рішеннях безпеки лише зростатиме, і BitslabAI Scanner готовий прийняти цей виклик і впевнено дивитися в майбутнє.
