Introduction
Bitslab a développé un agent d'audit IA de pointe, le BitsLabAI Scanner, spécialement conçu pour analyser et protéger les applications Web3. Nous avons récemment testé cette technologie lors de la compétition publique d'audit SuiDex, avec des résultats remarquables. BitslabAI Scanner, grâce à son scanner alimenté par l'IA, a surpassé la majorité des auditeurs lors de la compétition, aidant notre équipe à obtenir la deuxième place.
Contexte
L'écosystème Web3 se développe à une vitesse impressionnante, et les smart contracts deviennent de plus en plus complexes. Bien que cette innovation soit enthousiasmante, elle entraîne également des risques de sécurité majeurs, en particulier dans des écosystèmes émergents comme Sui. Auditer des smart contracts écrits en Move est une tâche ardue, car, comparé au monde EVM, il manque de données historiques sur les vulnérabilités et d'outils matures.
Pour combler cette lacune critique en matière de sécurité, Bitslab a développé un agent IA de pointe, le BitsLabAI Scanner, spécialement conçu pour analyser et protéger les applications Web3. Nous avons récemment testé cette technologie lors de la compétition publique d'audit SuiDex, avec des résultats remarquables. BitslaAI Scanner, grâce à son scanner alimenté par l'IA, a surpassé la majorité des auditeurs lors de la compétition, aidant notre équipe à obtenir la deuxième place. Cela démontre la puissante capacité du BitsLabAI Scanner à détecter des vulnérabilités de sécurité critiques qui pourraient être négligées sans l'aide de l'IA.
Pourquoi avons-nous créé un BitsLabAI Scanner axé sur la sécurité
Le monde de la sécurité on-chain connaît une transformation radicale grâce à l'IA fondamentale. Bien que les modèles de langage de grande taille (LLMs) généralistes soient aujourd'hui capables d'analyser de manière préliminaire le code des smart contracts, ils manquent souvent de la spécialisation et de la pensée antagoniste nécessaires à un audit de sécurité rigoureux. Ces modèles sont d'excellents assistants, mais ils ne sont pas des auditeurs.
Pour combler cette lacune essentielle, nous avons conçu une architecture multicouche axée sur la sécurité : le BitslabAI Scanner. Il ne s'agit pas d'un modèle unique et massif, mais d'un système intégré où plusieurs composants IA spécialisés travaillent en synergie. Chaque composant est dédié à un défi spécifique de la sécurité des smart contracts :
● Analyse sémantique du code : comprendre l'intention et la logique du code, au-delà de la syntaxe, en saisissant l'objectif métier du contrat.
● Détection de vulnérabilités : entraîné sur de vastes ensembles de données de vulnérabilités connues et d'anti-patterns, couvrant des attaques de réentrance jusqu'à des vecteurs de manipulation économique complexes.
● Simulation d'attaques : un composant avancé tente de générer et de valider de manière autonome des chemins d'attaque potentiels afin de confirmer si une vulnérabilité théorique peut réellement être exploitée.
Cette approche intégrée permet à l'IA de détecter des défauts logiques complexes et des vecteurs d'attaque subtils, souvent manqués par l'IA généraliste et l'audit humain. En combinant la rapidité et l'échelle de l'IA avec la précision des experts en sécurité, notre cadre permet une analyse plus approfondie et plus complète, offrant une protection proactive à la nouvelle génération d'applications Web3.
Du concept à la pratique : la véritable puissance du BitslabAI Scanner
La force du BitslabAI Scanner réside dans sa capacité à dépasser les limites de l'analyse statique traditionnelle. Il ne se contente pas de vérifier si le code contient une liste de vulnérabilités connues, mais simule le raisonnement d'un chercheur en sécurité de haut niveau. Il analyse non seulement ce que le code fait réellement, mais aussi ce que le code pourrait être amené à faire. Cela inclut la compréhension des incitations économiques, des cas limites potentiels, ainsi que de nouvelles méthodes d'attaque nécessitant une pensée antagoniste pour être découvertes.
Cette approche approfondie et contextuelle a été la clé de notre succès lors de l'audit SuiDex. L'IA ne fournit pas seulement une liste de problèmes potentiels, mais délivre un ensemble d'insights exploitables et priorisés, guidant directement les experts en audit vers les vulnérabilités les plus critiques. Voici les capacités clés qui ont soutenu cette analyse, illustrées par des cas concrets de SuiDex :
● Détection automatisée de vulnérabilités : scanner les contrats pour détecter des vulnérabilités courantes et rares, y compris la réentrance, les débordements d'entiers, les problèmes de contrôle d'accès et les erreurs de précision.
● Compréhension contextuelle : analyser les interactions entre différents modules internes du contrat ainsi que les appels externes, afin d'identifier les défauts logiques pouvant survenir dans des dépendances complexes.
● Précision et exactitude : minimiser les faux positifs tout en garantissant une détection très précise des risques réels.
● Scalabilité : capacité à auditer efficacement de grands ensembles de codes complexes, adapté à tous types de projets blockchain.
Relever les défis : découvertes clés surpassant les auditeurs lors de la compétition SuiDex
Lors de l'analyse du protocole SuiDex par l'IA, nous avons obtenu des résultats exceptionnels, découvrant plusieurs vulnérabilités susceptibles de compromettre l'intégrité de la plateforme et les fonds des utilisateurs. Au final, nous avons identifié 7 vulnérabilités critiques et 3 vulnérabilités à haut risque, démontrant la profondeur de notre analyse.
Bien que la liste complète reste confidentielle, les cas représentatifs suivants suffisent à illustrer la puissance de l'IA :
1. Découverte clé : Incompatibilité des systèmes mathématiques dans l'arithmétique centrale (SUIDEXCA-122)
● Problème : la bibliothèque mathématique à virgule fixe du protocole utilise simultanément deux systèmes mathématiques incompatibles. La couche logique effectue des calculs en utilisant la décomposition binaire (puissances de 2), tandis que la norme de précision du protocole repose sur le système décimal (puissances de 10). Effectuer des opérations binaires dans un cadre décimal revient à mélanger mètres et pieds dans une même formule sans conversion.
● Impact : toutes les opérations de multiplication et de division non triviales produiront inévitablement des résultats imprévisibles et erronés. Il s'agit d'une bombe à retardement susceptible de détruire la fiabilité de l'ensemble de l'AMM, entraînant d'importants écarts financiers et une perte de confiance des utilisateurs.
Cette découverte illustre la capacité de l'IA à détecter des défauts mathématiques profonds, et pas seulement des vulnérabilités superficielles du code.
2. Découverte clé : Mauvais indicateur logique de Swap
● Problème : la fonction clé responsable de l'échange Token A → Token B appelle une bibliothèque interne pour calculer le montant d'entrée requis, mais transmet par erreur un paramètre codé en dur, faisant croire à la bibliothèque qu'elle exécute l'échange inverse (Token B → Token A).
● Impact : cette petite erreur conduit à un mauvais calcul du montant d'entrée pour chaque transaction, provoquant des prix de transaction injustes ou des échecs de transaction, compromettant gravement la fonctionnalité centrale du DEX.
Cette découverte met en avant la capacité de l'IA à analyser le contexte inter-fonctionnel. Elle n'a pas analysé une fonction isolément, mais a suivi l'ensemble du chemin d'exécution pour identifier une contradiction logique clé.
3. Découverte à haut risque : Vulnérabilité de libération illimitée de tokens (SUIDEXCA-30)
● Problème : la logique de calcul du temps pour les tokens de récompense comporte une erreur subtile, ne limitant pas correctement le plafond d'émission selon le plan de 3 ans prédéfini.
● Impact : le protocole continuera à frapper de nouveaux tokens indéfiniment, bien au-delà du calendrier prévu. Cela détruirait complètement le modèle économique du token du projet, provoquerait de l'inflation, anéantirait la valeur du token et trahirait les engagements envers la communauté.
Ce cas illustre la capacité de l'IA à analyser la logique métier et ses conséquences économiques à long terme, protégeant ainsi l'intégrité financière du protocole.
Notre rapport détaillé a été rapidement partagé avec l'équipe de développement de SuiDex, qui a confirmé ces découvertes et pris immédiatement des mesures correctives.
Plus qu'une deuxième place : la valeur et la signification derrière le BitslabAI Scanner
La performance exceptionnelle du BitslabAI Scanner lors de la compétition d'audit SuiDex, qui lui a valu la deuxième place et permis de découvrir de nombreuses vulnérabilités critiques et à haut risque, prouve ses capacités avancées. Cette réussite valide non seulement l'efficacité du BitslabAI Scanner dans l'audit de sécurité des smart contracts, mais renforce également notre engagement à construire un avenir sécurisé et décentralisé.
Avec l'expansion continue de l'écosystème blockchain, la demande pour des solutions de sécurité puissantes et efficaces ne fera qu'augmenter, et le BitslabAI Scanner est prêt à relever ce défi et à affronter l'avenir.
