はじめに
Bitslabは、最先端のAI監査エージェントBitsLabAI Scannerを開発しました。これはWeb3アプリケーションの分析と保護に特化しています。最近、私たちはこの技術をSuiDexの公開監査コンテストでテストし、非常に優れた結果を得ました。BitslabAI ScannerはAI駆動型スキャナーを活用し、監査コンテストで多くの監査員を上回り、私たちのチームが2位を獲得するのに貢献しました。
背景説明
Web3エコシステムは驚異的なスピードで拡大しており、スマートコントラクトもますます複雑になっています。このようなイノベーションは刺激的ですが、特にSuiのような新興エコシステムでは重大なセキュリティリスクももたらします。Moveで書かれたスマートコントラクトの監査は困難な作業であり、EVMの世界と比べて十分な過去の脆弱性データや成熟したツールが不足しています。
この重要なセキュリティギャップを解決するために、Bitslabは最先端のAIエージェントBitsLabAI Scannerを開発し、Web3アプリケーションの分析と保護に特化しました。最近、私たちはこの技術をSuiDexの公開監査コンテストでテストし、非常に優れた結果を得ました。BitslabAI ScannerはAI駆動型スキャナーを活用し、監査コンテストで多くの監査員を上回り、私たちのチームが2位を獲得するのに貢献しました。このことは、BitsLabAI ScannerがAIの助けがなければ見逃される可能性のある重要なセキュリティ脆弱性を発見する強力な能力を示しています。
なぜ私たちはセキュリティ重視のBitsLabAI Scannerを構築したのか
オンチェーンセキュリティの世界は、基盤となるAIによって抜本的な変革を遂げています。汎用の大規模言語モデル(LLMs)は、現在スマートコントラクトコードの初歩的な分析能力を持っていますが、厳格なセキュリティ監査に必要な専門性や対抗的思考がしばしば欠けています。これらのモデルは優れたアシスタントですが、監査員ではありません。
この重要なギャップを埋めるために、私たちはセキュリティ重視の多層アーキテクチャ―BitslabAI Scannerを構築しました。これは単一の巨大なモデルではなく、複数の専用AIコンポーネントが協調して動作する統合システムです。各コンポーネントはスマートコントラクトセキュリティにおける特定の課題に特化しています:
● セマンティックコード解析:コードの意図やロジックを理解し、単なる構文レベルにとどまらず、コントラクトのビジネス目的を把握します。
● 脆弱性検出:既知の脆弱性やアンチパターンの大規模データセットに基づいてトレーニングされており、リ入攻撃から複雑な経済的操作ベクトルまでカバーします。
● 攻撃シミュレーション:高度なコンポーネントが潜在的な攻撃経路を自律的に生成・検証し、理論上の脆弱性が実際に悪用可能かどうかを確認します。
この統合アプローチにより、AIは複雑なロジックの欠陥や隠れた攻撃ベクトルを発見でき、これは汎用AIや人間の監査でも見逃されがちです。AIのスピードとスケール、そしてセキュリティ専門家の精度を組み合わせることで、私たちのフレームワークはより深く、より包括的な分析を実現し、新世代のWeb3アプリケーションに積極的なセキュリティを提供します。
コンセプトから実践へ:BitslabAI Scannerが示した真の実力
BitslabAI Scannerの能力は、従来の静的解析の限界を打ち破る点にあります。単に既知の脆弱性リストをチェックするだけでなく、一流のセキュリティ研究者の思考プロセスをシミュレートします。コードが実際に何をしているかだけでなく、コードが強制的に何をさせられる可能性があるかも分析します。これには経済的インセンティブ、潜在的な境界ケース、対抗的思考がなければ発見できない新しい攻撃手法の理解も含まれます。
このような深く、コンテキストを意識したアプローチこそが、SuiDex監査での成功の礎となりました。AIは潜在的な問題リストを提供するだけでなく、優先順位付けされた実行可能なインサイトを出力し、監査専門家が最も重要な脆弱性を特定できるよう直接導きます。以下は今回の分析を支えたコア能力であり、具体的なSuiDex事例を交えて紹介します:
● 自動化された脆弱性検出:リ入、整数オーバーフロー、アクセス制御問題、精度エラーなど、一般的および非一般的な脆弱性をコントラクト内でスキャンします。
● コンテキスト理解:コントラクト内部の異なるモジュール間の相互作用や外部呼び出しを分析し、複雑な依存関係下で発生しうるロジックの欠陥を特定します。
● 精度と正確性:誤検知を最小限に抑えつつ、実際のリスクを高精度で識別します。
● スケーラビリティ:大規模で複雑なコードベースも効率的に監査でき、あらゆるブロックチェーンプロジェクトに適用可能です。
課題への挑戦:SuiDex監査コンテストで監査員を凌駕した重要な発見
SuiDexプロトコルのAI駆動分析において、私たちはプラットフォームの完全性やユーザー資金を脅かす可能性のある複数の脆弱性を発見し、非常に高い成果を上げました。最終的に、7つの重大な脆弱性と3つの高リスク脆弱性を指摘し、分析の深さを示しました。
完全なリストは引き続き非公開ですが、以下の代表的な事例でAIの能力を十分に示すことができます:
1. 重要な発見:コア算術における非互換な数学体系(SUIDEXCA-122)
● 問題:プロトコルの固定小数点数学ライブラリが、互換性のない2つの数学体系を同時に使用していました。ロジック層では2の累乗による計算(二進法分解)を採用していますが、プロトコルの精度基準は10の累乗(十進法)に基づいています。十進法の枠組みで二進法の操作を行うのは、同じ式の中でメートルとフィートを混用し換算しないのと同じです。
● 影響:すべての非自明な乗除算は、必然的に予測不可能で誤った結果を生みます。これはいつ爆発してもおかしくない時限爆弾であり、AMM全体の信頼性を根底から破壊し、重大な財務的差異やユーザーの信頼喪失を招きます。
この発見は、AIが表面的なコード脆弱性だけでなく、深層的な数学的欠陥も発見できることを示しています。
2. 重要な発見:誤ったSwapロジックフラグ
● 問題:Token A → Token Bの交換を実行する重要な関数が、必要な入力金額を計算するために内部ライブラリを呼び出す際、ハードコーディングされたパラメータを誤って渡していました。そのため、ライブラリは逆方向(Token B → Token A)の交換を実行していると誤認していました。
● 影響:この小さなミスにより、プロトコルは各取引の入力金額を誤って計算し、取引価格の不公平や取引自体の失敗を引き起こし、DEXのコア機能を深刻に損ないます。
この発見は、AIの関数間コンテキスト分析能力を示しています。AIは単一の関数を孤立して分析するのではなく、完全な実行パスを追跡し、ロジック上の重要な矛盾を特定しました。
3. 高リスク発見:無限トークン発行脆弱性(SUIDEXCA-30)
● 問題:報酬トークンの時間計算ロジックに微妙な誤りがあり、事前に設定された3年間の発行上限を正しく制限できていませんでした。
● 影響:プロトコルは新しいトークンを無期限に鋳造し、既定のスケジュールを大幅に超えてしまいます。これによりプロジェクトのトークンエコノミクスが完全に崩壊し、インフレを引き起こし、トークン価値を破壊し、コミュニティへの約束にも反します。
この事例は、AIがビジネスロジックとその長期的な経済的影響を分析し、プロトコルの金融的完全性を守ることができることを示しています。
私たちの詳細なレポートはSuiDex開発チームに速やかに共有され、彼らもこれらの発見を確認し、直ちに修正措置を講じました。
単なる2位ではない:BitslabAI Scannerの価値と意義
BitslabAI ScannerはSuiDex監査コンテストで優れたパフォーマンスを発揮し、2位を獲得するとともに、多数の重大かつ高リスクな脆弱性を発見し、その先進的な能力を証明しました。この成果は、BitslabAI Scannerがスマートコントラクトセキュリティ監査において有効であることを実証しただけでなく、分散型セキュアな未来の構築に対する私たちのコミットメントをさらに強化するものです。
ブロックチェーンエコシステムの継続的な拡大に伴い、強力かつ効率的なセキュリティソリューションへの需要は今後も増加し続けます。BitslabAI Scannerはこの課題に立ち向かい、未来に備えています。
