Введение
Bitslab разработала передового AI-аудит агента, BitsLabAI Scanner, специально предназначенного для анализа и защиты Web3-приложений. Недавно мы протестировали эту технологию на публичном соревновании по аудиту SuiDex, и результаты оказались выдающимися. BitslabAI Scanner, используя сканер на базе AI, превзошёл большинство аудиторов на соревновании, что помогло нашей команде занять второе место.
Обзор
Экосистема Web3 расширяется с поразительной скоростью, а смарт-контракты становятся всё более сложными. Хотя такие инновации впечатляют, они также несут значительные риски безопасности, особенно в таких новых экосистемах, как Sui. Аудит смарт-контрактов, написанных на Move, — сложная задача, поскольку по сравнению с EVM-миром здесь не хватает исторических данных по уязвимостям и зрелых инструментов.
Чтобы устранить этот критический пробел в безопасности, Bitslab разработала передового AI-агента — BitsLabAI Scanner, специально предназначенного для анализа и защиты Web3-приложений. Недавно мы протестировали эту технологию на публичном соревновании по аудиту SuiDex, и результаты оказались выдающимися. BitslabAI Scanner, используя свой AI-сканер, превзошёл большинство аудиторов на соревновании, что помогло нашей команде занять второе место. Это демонстрирует мощные возможности BitsLabAI Scanner по обнаружению критических уязвимостей безопасности, которые могли бы остаться незамеченными без помощи AI.
Почему мы создали ориентированный на безопасность BitsLabAI Scanner
Мир on-chain безопасности переживает радикальную трансформацию, движимую фундаментальным AI. Несмотря на то, что современные большие языковые модели (LLMs) уже способны к базовому анализу кода смарт-контрактов, им зачастую не хватает специализации и атакующего мышления, необходимых для строгого аудита безопасности. Эти модели — отличные помощники, но они не аудиторы.
Чтобы восполнить этот ключевой пробел, мы создали ориентированную на безопасность многоуровневую архитектуру — BitslabAI Scanner. Это не единая громоздкая модель, а интегрированная система, где несколько специализированных AI-компонентов работают совместно. Каждый компонент заточен под определённые задачи в области безопасности смарт-контрактов:
● Семантический анализ кода: Понимание намерений и логики кода, выходящее за рамки синтаксиса и охватывающее бизнес-логику контракта.
● Обнаружение уязвимостей: Обучение на обширных датасетах известных уязвимостей и антипаттернов, охватывающее от атак повторного входа до сложных экономических манипуляций.
● Моделирование атак: Продвинутый компонент, который самостоятельно генерирует и проверяет потенциальные пути атак, чтобы подтвердить, могут ли теоретические уязвимости быть реально использованы.
Такой интегрированный подход позволяет AI выявлять сложные логические дефекты и скрытые векторы атак, которые легко могут быть пропущены как универсальным AI, так и ручным аудитом. Объединяя скорость и масштабируемость AI с точностью экспертов по безопасности, наша система обеспечивает более глубокий и всесторонний анализ, проактивно защищая новое поколение Web3-приложений.
От концепции к практике: реальная мощь BitslabAI Scanner
Сила BitslabAI Scanner заключается в преодолении ограничений традиционного статического анализа. Он не просто проверяет код на наличие известных уязвимостей, а моделирует мышление ведущего исследователя по безопасности. Он анализирует не только что реально делает код, но и что код может быть вынужден сделать. Это включает понимание экономических стимулов, потенциальных граничных случаев и новых методов атак, требующих атакующего мышления.
Этот глубокий, контекстно-осознанный подход стал основой нашего успеха в аудите SuiDex. AI не просто предоставляет список потенциальных проблем, а выдаёт приоритизированные, практически применимые инсайты, которые напрямую помогают экспертам по аудиту находить самые критические уязвимости. Вот основные возможности, лежащие в основе анализа, с примерами из SuiDex:
● Автоматизированное обнаружение уязвимостей: Сканирование контрактов на наличие как распространённых, так и редких уязвимостей, включая повторный вход, переполнение целых чисел, проблемы контроля доступа и ошибки точности.
● Понимание контекста: Анализ взаимодействий между различными модулями внутри контракта и внешними вызовами для выявления логических дефектов в условиях сложных зависимостей.
● Точность и достоверность: Максимальное снижение ложных срабатываний при высокой точности выявления реальных рисков.
● Масштабируемость: Эффективный аудит крупных и сложных кодовых баз, применимый к различным блокчейн-проектам.
Вызовы и достижения: ключевые находки, превзошедшие аудиторов на соревновании SuiDex
В ходе AI-анализа протокола SuiDex мы добились выдающихся результатов, обнаружив несколько уязвимостей, способных поставить под угрозу целостность платформы и средства пользователей. В итоге мы отметили 7 критических уязвимостей и 3 уязвимости высокого риска, что демонстрирует глубину анализа.
Хотя полный список остаётся конфиденциальным, следующие примеры наглядно иллюстрируют возможности AI:
1. Ключевая находка: несовместимые математические системы в основной арифметике (SUIDEXCA-122)
● Проблема: Библиотека фиксированной математики протокола использует две несовместимые математические системы. На логическом уровне вычисления ведутся с помощью двоичного разложения (степени 2), но стандарт точности протокола основан на десятичной системе (степени 10). Выполнение двоичных операций в десятичной системе — всё равно что смешивать метры и футы в одной формуле без пересчёта.
● Влияние: Все нетривиальные операции умножения и деления неизбежно приводят к непредсказуемым и ошибочным результатам. Это настоящая "мина замедленного действия", способная полностью разрушить надёжность всего AMM, привести к серьёзным финансовым расхождениям и потере доверия пользователей.
Эта находка демонстрирует способность AI выявлять глубокие математические дефекты, а не только поверхностные баги кода.
2. Ключевая находка: неправильный флаг логики Swap
● Проблема: Ключевая функция, отвечающая за обмен Token A → Token B, вызывает внутреннюю библиотеку для расчёта необходимой суммы ввода, но ошибочно передаёт жёстко заданный параметр, из-за чего библиотека считает, что выполняется обратный обмен (Token B → Token A).
● Влияние: Эта небольшая ошибка приводит к неправильному расчёту суммы ввода для каждой сделки, что вызывает несправедливое ценообразование или прямой сбой сделки, серьёзно нарушая основную функцию DEX.
Эта находка демонстрирует способность AI к межфункциональному анализу контекста. Он не анализирует функцию изолированно, а отслеживает полный путь выполнения, выявляя ключевые логические противоречия.
3. Высокорисковая находка: уязвимость бесконечной эмиссии токенов (SUIDEXCA-30)
● Проблема: В логике расчёта времени для наградных токенов есть тонкая ошибка, из-за которой не соблюдается установленный 3-летний лимит эмиссии.
● Влияние: Протокол будет бесконечно выпускать новые токены, значительно превышая запланированный график. Это полностью разрушит токеномику проекта, вызовет инфляцию, обесценит токен и нарушит обещания перед сообществом.
Этот пример показывает, что AI способен анализировать бизнес-логику и её долгосрочные экономические последствия, защищая финансовую целостность протокола.
Наш подробный отчёт был своевременно передан команде разработчиков SuiDex, которая подтвердила находки и немедленно приступила к их устранению.
Не только второе место: ценность и значимость BitslabAI Scanner
Выдающееся выступление BitslabAI Scanner на соревновании по аудиту SuiDex, итоговое второе место и обнаружение множества критических и высокорисковых уязвимостей доказывают его передовые возможности. Это достижение не только подтверждает эффективность BitslabAI Scanner в аудите безопасности смарт-контрактов, но и укрепляет нашу приверженность построению децентрализованного безопасного будущего.
По мере дальнейшего расширения блокчейн-экосистемы спрос на мощные и эффективные решения по безопасности будет только расти, и BitslabAI Scanner готов к этим вызовам и будущему.
