BitsLabAI Scanner 在審計大賽中超越眾多審計人員，斬獲第二名

引言

Bitslab 開發了一套最前沿的 AI 審計 Agent，BitsLabAI Scanner；專門用於分析和保護Web3 應用。我們最近在 SuiDex 公共審計大賽中測試了這套技術，結果非常出色。BitslabAI Scanner 利用 AI 驅動掃描器在審計比賽中戰勝多數審計人員，幫助我們團隊獲得第二名。

背景介紹

Web3 生態正在以驚人的速度擴張，智能合約也變得日益複雜。雖然這種創新令人興奮，但也帶來了重大的安全風險，尤其是在像 Sui 這樣的新興生態中。審計用 Move 編寫的智能合約是一項艱鉅的任務，因為與 EVM 世界相比，它缺乏足夠的歷史漏洞數據和成熟工具。

為了解決這一關鍵安全缺口，Bitslab 開發了一套最前沿的 AI Agent，BitsLabAI Scanner，專門用於分析和保護 Web3 應用。我們最近在 SuiDex 公共審計大賽中測試了這套技術，結果非常出色。BitslaAI Scanner 利用其 AI 驅動掃描器在審計比賽中戰勝多數審計人員，幫助我們團隊獲得第二名。這展示了BitsLabAI Scanner 發現關鍵安全漏洞的強大能力，這些漏洞若沒有 AI 的幫助可能會被忽視。

為什麼我們要打造一套以安全為先的BitsLabAI Scanner

鏈上安全的世界正在經歷由基礎AI 推動的徹底變革。儘管通用型大型語言模型（LLMs）如今已經具備了對智能合約代碼進行初步分析的能力，但它們往往缺乏嚴格安全審計所需的專業化、對抗性思維。這些模型是很好的助手，但它們不是審計員。

為彌補這一關鍵差距，我們打造了以安全為先的多層架構——BitslabAI Scanner。它不是單一、龐大的模型，而是一個集成系統，數個專用 AI 組件協同工作。每個組件都專門針對智能合約安全中的特定挑戰：

● 語義代碼分析：理解代碼的意圖與邏輯，不僅僅停留在語法層面，而是把握合約的業務目的。

● 漏洞檢測：基於大量已知漏洞與反模式的數據集進行訓練，涵蓋重入攻擊到複雜的經濟操縱向量。

● 攻擊模擬：一個高級組件會嘗試自主生成並驗證潛在攻擊路徑，以確認理論漏洞是否真的能被利用。

這種集成方法使得AI 能夠發現複雜的邏輯缺陷和隱蔽的攻擊向量，這是通用 AI 和人工審計都容易遺漏的。通過結合 AI 的速度與規模和安全專家的精準度，我們的框架實現了更深入、更全面的分析，主動為新一代 Web3 應用提供安全保障。

從概念到實踐：BitslabAI Scanner 展現出的真正實力

BitslabAI Scanner 的能力在於其突破了傳統靜態分析的侷限。它並不僅僅是檢查代碼是否包含已知漏洞清單，而是模擬一名頂尖安全研究員的思維過程。它不僅分析代碼實際做了什麼，還分析代碼可能被迫去做什麼。這包括理解經濟激勵、潛在邊界情況，以及需要對抗性思維才能發現的新型攻擊手法。

這種深度、具備上下文意識的方法，是我們在SuiDex 審計中取得成功的基石。AI 不只是提供潛在問題清單，而是輸出了一組有優先級的可執行洞察，直接引導審計專家找到最關鍵的漏洞。以下是支撐本次分析的核心能力，並輔以具體的SuiDex 案例：

● 自動化漏洞檢測：掃描合約中的常見與非常見漏洞，包括重入、整數溢出、訪問控制問題和精度錯誤。

● 上下文理解：分析合約內部不同模組之間的互動，以及外部調用，識別複雜依賴下可能出現的邏輯缺陷。

● 精確性與準確性：最大限度減少誤報，同時保證對真實風險的高準確識別。

● 可擴展性：能夠高效審計大型複雜代碼庫，適用於各類區塊鏈項目。

直面挑戰：在SuiDex 審計大賽中超越審計人員的關鍵發現

在對SuiDex 協議的 AI 驅動分析中，我們取得了極高的效果，發現了多個可能危及平台完整性和用戶資金的漏洞。最終，我們標記出了 7 個關鍵漏洞和3 個高危漏洞，展示了分析的深度。

雖然完整清單仍保持保密，但以下幾個代表性案例足以說明AI 的能力：

1. 關鍵發現：核心算術中的不兼容數學體系（SUIDEXCA-122）

● 問題：協議的定點數學庫同時使用了兩套互不兼容的數學體系。邏輯層面採用二進制分解（2 的冪次）進行計算，但協議的精度標準卻基於十進制（10 的冪次）。在十進制框架中執行二進制操作，就像在同一個公式裡把米和英尺混用卻不做換算。

● 影響：所有非平凡的乘除運算都必然產生不可預測且錯誤的結果。這是一個隨時可能爆發的定時炸彈，會徹底破壞整個AMM 的可靠性，導致重大財務差異和用戶信任的流失。

這一發現體現了AI 能夠發現深層數學性缺陷，而不僅僅是表層的代碼漏洞。

2. 關鍵發現：錯誤的 Swap 邏輯標誌

● 問題：負責執行Token A → Token B 交換的關鍵函數調用了一个內部庫來計算所需輸入金額，但錯誤地傳入了一個硬編碼參數，使得庫以為正在執行相反方向的交換（Token B → Token A）。

● 影響：這一小小的錯誤會導致協議對每筆交易的輸入金額計算錯誤，從而引發交易價格不公平或交易直接失敗，嚴重破壞DEX 的核心功能。

這一發現展示了AI 的跨函數上下文分析能力。它並未孤立分析某個函數，而是追蹤了完整的執行路徑，識別出邏輯上的關鍵矛盾。

3. 高危發現：無限代幣釋放漏洞（SUIDEXCA-30）

● 問題：獎勵代幣的時間計算邏輯存在細微錯誤，未能按照預設的3 年計劃正確限制發行上限。

● 影響：協議會無限期地鑄造新代幣，遠超既定時間表。這將徹底破壞項目的代幣經濟模型，引發通脹，摧毀代幣價值，並違背對社區的承諾。

這一案例展示了AI 能夠分析業務邏輯及其長期經濟後果，從而守護協議的金融完整性。

我們的詳細報告已及時分享給SuiDex 開發團隊，他們也確認了這些發現，並立即採取措施進行修復。

不僅是第二名：BitslabAI Scanner 背後的價值與意義

BitslabAI Scanner 在 SuiDex 審計大賽中的出色表現，最終獲得第二名，並發現了大量關鍵和高危漏洞，證明了其先進能力。這一成就不僅驗證了BitslabAI Scanner 在智能合約安全審計中的有效性，也進一步強化了我們建設去中心化安全未來的承諾。

隨著區塊鏈生態的持續擴張，對強大而高效的安全解決方案的需求只會不斷增長，而BitslabAI Scanner 正準備迎接這一挑戰，直面未來。