المقدمة
طورت Bitslab مجموعة متقدمة من وكلاء التدقيق المدعومين بالذكاء الاصطناعي، BitsLabAI Scanner، والمخصصة لتحليل وحماية تطبيقات Web3. قمنا مؤخرًا باختبار هذه التقنية في مسابقة التدقيق العامة لـ SuiDex، وكانت النتائج ممتازة. تمكن BitslabAI Scanner من التفوق على معظم المدققين في المسابقة بفضل الماسح المدعوم بالذكاء الاصطناعي، مما ساعد فريقنا على تحقيق المركز الثاني.
مقدمة خلفية
يشهد نظام Web3 البيئي توسعًا مذهلاً، وأصبحت العقود الذكية أكثر تعقيدًا يومًا بعد يوم. وبينما يعتبر هذا الابتكار مثيرًا، إلا أنه يجلب معه مخاطر أمنية كبيرة، خاصة في الأنظمة البيئية الناشئة مثل Sui. تدقيق العقود الذكية المكتوبة بلغة Move يُعد مهمة شاقة، نظرًا لافتقارها إلى بيانات ثغرات تاريخية كافية وأدوات ناضجة مقارنة بعالم EVM.
لمعالجة هذه الفجوة الأمنية الحرجة، طورت Bitslab مجموعة متقدمة من وكلاء الذكاء الاصطناعي، BitsLabAI Scanner، المخصصة لتحليل وحماية تطبيقات Web3. قمنا مؤخرًا باختبار هذه التقنية في مسابقة التدقيق العامة لـ SuiDex، وكانت النتائج ممتازة. تمكن BitslaAI Scanner من التفوق على معظم المدققين في المسابقة بفضل الماسح المدعوم بالذكاء الاصطناعي، مما ساعد فريقنا على تحقيق المركز الثاني. هذا يُظهر القوة الكبيرة لـ BitsLabAI Scanner في اكتشاف الثغرات الأمنية الحرجة التي قد يتم تجاهلها بدون مساعدة الذكاء الاصطناعي.
لماذا أنشأنا BitsLabAI Scanner الذي يركز على الأمان أولاً
عالم الأمان على السلسلة يشهد تحولًا جذريًا مدفوعًا بالذكاء الاصطناعي الأساسي. على الرغم من أن نماذج اللغة الكبيرة العامة (LLMs) أصبحت قادرة اليوم على إجراء تحليل أولي لكود العقود الذكية، إلا أنها غالبًا ما تفتقر إلى التخصص والتفكير الهجومي اللازمين للتدقيق الأمني الصارم. هذه النماذج تعتبر مساعدين جيدين، لكنها ليست مدققين.
لسد هذه الفجوة الحرجة، أنشأنا بنية متعددة الطبقات تركز على الأمان — BitslabAI Scanner. إنه ليس نموذجًا واحدًا وضخمًا، بل نظام متكامل يعمل فيه العديد من مكونات الذكاء الاصطناعي المتخصصة معًا. كل مكون مصمم خصيصًا لمواجهة تحديات محددة في أمان العقود الذكية:
● تحليل الكود الدلالي: فهم نية الكود ومنطقه، وعدم الاكتفاء بالمستوى النحوي، بل فهم هدف العقد من الناحية العملية.
● كشف الثغرات: تم تدريبه على مجموعات بيانات ضخمة من الثغرات المعروفة والأنماط المضادة، ويغطي هجمات إعادة الدخول إلى نواقل التلاعب الاقتصادي المعقدة.
● محاكاة الهجمات: مكون متقدم يحاول بشكل مستقل توليد والتحقق من مسارات الهجوم المحتملة، لتأكيد ما إذا كان يمكن استغلال الثغرات النظرية فعليًا.
تسمح هذه الطريقة المتكاملة للذكاء الاصطناعي باكتشاف العيوب المنطقية المعقدة ونواقل الهجوم الخفية، والتي غالبًا ما يتم تجاهلها من قبل الذكاء الاصطناعي العام والتدقيق البشري. من خلال الجمع بين سرعة الذكاء الاصطناعي ودقته وخبرة خبراء الأمان، يوفر إطار عملنا تحليلاً أعمق وأكثر شمولاً، ويوفر الحماية الاستباقية لتطبيقات Web3 من الجيل الجديد.
من المفهوم إلى التطبيق: القوة الحقيقية التي أظهرها BitslabAI Scanner
تكمن قوة BitslabAI Scanner في قدرته على تجاوز حدود التحليل الساكن التقليدي. فهو لا يكتفي بفحص ما إذا كان الكود يحتوي على قائمة من الثغرات المعروفة، بل يحاكي طريقة تفكير باحث أمني رائد. لا يحلل فقط ما يفعله الكود فعليًا، بل يحلل أيضًا ما قد يُجبر الكود على فعله. يشمل ذلك فهم الحوافز الاقتصادية، والحالات الحدية المحتملة، وأساليب الهجوم الجديدة التي تتطلب تفكيرًا هجوميًا لاكتشافها.
هذه الطريقة العميقة والواعية للسياق كانت حجر الأساس لنجاحنا في تدقيق SuiDex. الذكاء الاصطناعي لا يقدم فقط قائمة بالمشكلات المحتملة، بل ينتج مجموعة من الرؤى القابلة للتنفيذ ذات الأولوية، التي توجه خبراء التدقيق مباشرة إلى الثغرات الأكثر أهمية. فيما يلي القدرات الأساسية التي دعمت هذا التحليل، مع أمثلة محددة من SuiDex:
● كشف الثغرات المؤتمت: فحص الثغرات الشائعة وغير الشائعة في العقود، بما في ذلك إعادة الدخول، وتجاوز الأعداد الصحيحة، ومشاكل التحكم في الوصول، وأخطاء الدقة.
● فهم السياق: تحليل التفاعل بين الوحدات المختلفة داخل العقد، بالإضافة إلى الاستدعاءات الخارجية، لتحديد العيوب المنطقية التي قد تظهر تحت الاعتماديات المعقدة.
● الدقة والموثوقية: تقليل الإنذارات الكاذبة إلى الحد الأدنى، مع ضمان التعرف الدقيق على المخاطر الحقيقية.
● القابلية للتوسع: القدرة على تدقيق قواعد الكود الكبيرة والمعقدة بكفاءة، مما يجعله مناسبًا لمختلف مشاريع البلوكشين.
مواجهة التحديات: الاكتشافات الرئيسية التي تفوقت على المدققين في مسابقة SuiDex
من خلال التحليل المدعوم بالذكاء الاصطناعي لبروتوكول SuiDex، حققنا نتائج عالية جدًا، واكتشفنا العديد من الثغرات التي قد تهدد سلامة المنصة وأموال المستخدمين. في النهاية، قمنا بتحديد 7 ثغرات حرجة و3 ثغرات عالية الخطورة، مما يُظهر عمق التحليل.
على الرغم من أن القائمة الكاملة لا تزال سرية، إلا أن الحالات التمثيلية التالية كافية لإظهار قدرات الذكاء الاصطناعي:
1. اكتشاف رئيسي: أنظمة رياضية غير متوافقة في الحسابات الأساسية (SUIDEXCA-122)
● المشكلة: مكتبة الرياضيات ذات النقطة الثابتة في البروتوكول تستخدم نظامين رياضيين غير متوافقين. على مستوى المنطق، يتم الحساب باستخدام التحليل الثنائي (قوى 2)، بينما يعتمد معيار الدقة في البروتوكول على النظام العشري (قوى 10). تنفيذ العمليات الثنائية ضمن إطار عشري يشبه خلط الأمتار والأقدام في نفس المعادلة دون تحويل الوحدات.
● التأثير: جميع عمليات الضرب والقسمة غير البسيطة ستنتج نتائج غير متوقعة وخاطئة بالضرورة. هذه قنبلة موقوتة قد تنفجر في أي لحظة، وتدمر موثوقية AMM بالكامل، وتؤدي إلى اختلافات مالية كبيرة وفقدان ثقة المستخدمين.
هذا الاكتشاف يُظهر قدرة الذكاء الاصطناعي على اكتشاف العيوب الرياضية العميقة، وليس فقط الثغرات السطحية في الكود.
2. اكتشاف رئيسي: علامة منطقية خاطئة في Swap
● المشكلة: الدالة الرئيسية المسؤولة عن تنفيذ تحويل Token A → Token B تستدعي مكتبة داخلية لحساب المبلغ المطلوب للإدخال، لكنها تمرر معلمة ثابتة بشكل خاطئ، مما يجعل المكتبة تعتقد أنها تنفذ التحويل في الاتجاه المعاكس (Token B → Token A).
● التأثير: هذا الخطأ الصغير يؤدي إلى حساب خاطئ لمبلغ الإدخال في كل معاملة، مما يتسبب في أسعار تداول غير عادلة أو فشل المعاملة مباشرة، ويضر بشكل خطير بالوظيفة الأساسية للـ DEX.
هذا الاكتشاف يُظهر قدرة الذكاء الاصطناعي على تحليل السياق عبر الدوال. لم يقم بتحليل دالة واحدة بمعزل، بل تتبع مسار التنفيذ الكامل وحدد التناقض المنطقي الرئيسي.
3. اكتشاف عالي الخطورة: ثغرة إصدار رموز غير محدودة (SUIDEXCA-30)
● المشكلة: منطق حساب الوقت لإصدار رموز المكافآت يحتوي على خطأ دقيق، مما يمنع الحد الأعلى للإصدار من التطبيق بشكل صحيح وفقًا للخطة المحددة لمدة 3 سنوات.
● التأثير: سيستمر البروتوكول في سك رموز جديدة إلى أجل غير مسمى، متجاوزًا الجدول الزمني المحدد بكثير. سيؤدي ذلك إلى تدمير نموذج الاقتصاد الرمزي للمشروع، والتسبب في التضخم، وتدمير قيمة الرمز، والإخلال بالوعود المقدمة للمجتمع.
تُظهر هذه الحالة قدرة الذكاء الاصطناعي على تحليل المنطق التجاري وعواقبه الاقتصادية طويلة الأجل، وبالتالي حماية السلامة المالية للبروتوكول.
لقد شاركنا تقريرنا التفصيلي في الوقت المناسب مع فريق تطوير SuiDex، وقد أكدوا هذه الاكتشافات واتخذوا إجراءات فورية لإصلاحها.
ليس فقط المركز الثاني: القيمة والمعنى وراء BitslabAI Scanner
أداء BitslabAI Scanner المتميز في مسابقة تدقيق SuiDex، حيث حصل في النهاية على المركز الثاني واكتشف العديد من الثغرات الحرجة وعالية الخطورة، يثبت قدراته المتقدمة. لا تؤكد هذه الإنجازات فعالية BitslabAI Scanner في تدقيق أمان العقود الذكية فحسب، بل تعزز أيضًا التزامنا ببناء مستقبل أمني لامركزي.
مع استمرار توسع نظام البلوكشين البيئي، ستزداد الحاجة إلى حلول أمان قوية وفعالة، وBitslabAI Scanner مستعد لمواجهة هذا التحدي والتطلع إلى المستقبل.
