Em resumo
- Mitchell Amador, CEO da Immunefi, disse à Decrypt no Token20499 em Cingapura que as ferramentas de IA antes limitadas a empresas de segurança agora estão acessíveis a grupos como Lázaro, permitindo ataques maciços.
- As recompensas de insetos pagaram mais de US $ 100 milhões, mas “atingiram os limites”, pois não há “globos oculares suficientes” para fornecer a cobertura necessária, disse ele
- O hack de US $ 1,4 bilhão contornou a segurança do contrato inteligente comprometendo a infraestrutura, expondo lacunas onde os defensores “não estão fazendo tão quente”, disse Amador.
A IA entregou aos invasores de criptografia as mesmas ferramentas que os defensores usam, e os resultados estão custando bilhões de bilhões do setor, dizem os especialistas.
Mitchell Amador, CEO da Immunefi, disse Descriptografar Durante o início da semana de Token2049 em Cingapura, a IA transformou a descoberta de vulnerabilidades em exploração quase instantânea e que as ferramentas avançadas de auditoria que sua empresa construiu não são mais exclusivas para os mocinhos.
“Se tivermos isso, o grupo lázaro norte -coreano construir ferramentas semelhantes? Os grupos hackers ucranianos russos podem criar tais ferramentas semelhantes?” Amador perguntou. “A resposta é que eles podem.”
O agente de auditoria de IA da Immunfi supera a grande maioria das empresas de auditoria tradicionais, mas essa mesma capacidade está ao alcance das operações de hackers bem financiadas, disse ele.
“As auditorias são ótimas, mas não está nem perto o suficiente para acompanhar a taxa de inovação e a taxa de melhoria composta dos atacantes”, disse ele.
Com mais de 3% do valor total bloqueado roubado através do ecossistema Em 2024, Amador disse que, embora a segurança não seja mais uma reflexão tardia, os projetos “lutam para saber como investir e como alocar recursos lá efetivamente”.
A indústria passou de “um problema de priorização, que é uma coisa maravilhosa, como um conhecimento e educação educacional”, acrescentou.
A IA também fez com que os sofisticados ataques de engenharia social sejam baratos, de acordo com Amador.
“Quanto você acha que os custos de telefonema?” Ele disse, referindo-se a chamadas de phishing geradas pela IA que podem se passar por colegas com precisão perturbadora. “Você pode executar isso para centavos com um sistema de instruções bem pensado, e pode executar aqueles em massa. Essa é a parte assustadora da IA”.
O CEO da Imunefi disse que grupos como Lazarus provavelmente empregam “pelo menos algumas centenas de caras, se não provavelmente não, milhares que trabalham o tempo todo” em explorações de criptografia como uma importante fonte de receita para a economia da Coréia do Norte.
“As pressões competitivas decorrentes das cotas anuais da receita da Coréia do Norte”, levam os agentes a proteger ativos individuais e superar os colegas ‘em vez de coordenar melhorias de segurança, um recente Sentinellabs Relatório de inteligência encontrado.
“O jogo com ataques orientados a IA é que ele acelera a taxa na qual algo pode passar do descoberta a explorar”, disse Amador ao Descriptografar. “Para se defender, a única solução é ainda mais rápida contramedidas”.
A resposta da Immunfi foi incorporar a IA diretamente nos repositórios do GitHub dos desenvolvedores e nos oleodutos CI/CD, capturando vulnerabilidades antes que o código atinja a produção, observou ele, enquanto a previsão dessa abordagem desencadeará uma “queda precipitada” em Defi Hacks dentro de um a dois anos, potencialmente reduzindo os incidentes por outra ordem de magnitude.
DMytro Matviiv, CEO da Web3 Bug Bounty Platform Hackenproof, disse Descriptografar Que “as auditorias manuais sempre terão um lugar, mas seu papel mudará”.
“As ferramentas de IA são cada vez mais eficazes em capturar vulnerabilidades de ‘frutas baixas’, o que reduz a necessidade de análises manuais em larga escala de erros comuns”, disse ele. “O que resta são os problemas sutis e dependentes do contexto que exigem profundo experiência humana.”
Para se defender contra ataques a IA, a Immunufi implementou uma política apenas para a lista de permissões para todos os recursos e infraestrutura da empresa, que Amador disse que “prendeu milhares dessas tentativas de técnicas de phishing de lança com muita eficácia”.
Mas esse nível de vigilância não é prático para a maioria das organizações, disse ele, observando: “Podemos fazer isso na Imunify porque somos uma empresa que vive e respira segurança e vigilância. As pessoas normais não podem fazer isso. Eles têm vidas para viver”.
Recompensas de insetos atingem uma parede
Imunefi facilitou US $ 100 milhões em pagamentos a hackers de chapéu branco, com distribuições mensais constantes que variam de US $ 1 milhão a US $ 5 milhões. No entanto, Amador disse Descriptografar que a plataforma “atingiu os limites”, pois não há “globos oculares suficientes” para fornecer a cobertura necessária em todo o setor.
A restrição não se trata apenas de disponibilidade do pesquisador, pois as recompensas de insetos enfrentam um problema intrínseco de jogo de soma zero que cria incentivos perversos para ambos os lados, segundo Amador.
Os pesquisadores devem revelar vulnerabilidades para provar que existem, mas perdem toda a alavancagem uma vez divulgadas. A imunefi mitiga isso negociando contratos abrangentes que especificam tudo antes da divulgação, disse Amador.
Enquanto isso, Matviiv contou Descriptografar que ele não pensa “estamos perto de esgotar o conjunto global de talentos de segurança”, observando que os novos pesquisadores se juntam anualmente em plataformas e progridem rapidamente de “descobertas simples a vulnerabilidades altamente complexas”.
“O desafio é tornar o espaço atraente o suficiente em termos de incentivos e comunidade para que esses novos rostos permaneçam por aí”.
As recompensas de insetos provavelmente chegaram ao seu “zenith em eficiência” fora de inovações novas que nem existem nos programas tradicionais de recompensas de insetos, acrescentou Amador.
A empresa está explorando soluções híbridas de IA para oferecer aos pesquisadores individuais uma maior alavancagem para auditar mais protocolos em escala, mas eles permanecem em P&D.
As recompensas de insetos permanecem essenciais, pois “uma comunidade externa diversificada estará sempre posicionada para descobrir casos de borda que sistemas automatizados ou equipes internas perdem”, observou Matviiv, mas cada vez mais trabalharão ao lado da digitalização, monitoramento e auditoria de IA em “modelos híbridos”.
Os maiores hacks não vêm do código
Enquanto contrato inteligente As auditorias e as recompensas de bugs amadureceram consideravelmente, as explorações mais devastadoras estão cada vez mais ignorando o código completamente.
O Hack de US $ 1,4 bilhão No início deste ano, destacou essa mudança, disse Amador, com os atacantes comprometendo a infraestrutura de front-end da Safe para substituir transações multi-sig legítimas, em vez de explorar qualquer vulnerabilidade de contrato inteligente.
“Isso não foi algo que teria sido pego com uma auditoria ou recompensa de insetos”, disse ele. “Esse foi um sistema de infraestrutura interna comprometida”.
Apesar das melhorias de segurança em áreas tradicionais, como auditorias, pipelines de CI/CD e recompensas de insetos, Amador observou que a indústria “não está fazendo tão quente” em segurança multi-sig, phishing, medidas anti-escam e proteção da comunidade.
A Immunefi lançou um produto de segurança de vários sigções que atribui hackers de chapéu branco de elite para revisar manualmente todas as transações significativas antes da execução, que, segundo ele, teria capturado o ataque do bybit. Mas ele reconheceu que é uma medida reativa e não preventiva.
Este progresso desigual explica por que 2024 se tornou o Pior ano para hacks Apesar das melhorias na segurança do código, como os padrões de hackers seguem uma distribuição matemática previsível, tornando inevitáveis incidentes grandes e anômalos, disse Amador.
“Sempre haverá um grande outlier”, disse ele. “E não é um outlier, é o padrão. Sempre há um grande hack por ano”.
A segurança do contrato inteligente amadureceu consideravelmente, disse Matviiv, mas “a próxima fronteira está definitivamente em torno da superfície de ataque mais ampla: configurações de carteira multi-sig, gerenciamento-chave, phishing, ataques de governança e explorações no nível do ecossistema”.
Segurança eficaz requer captura de vulnerabilidades o mais cedo possível no processo de desenvolvimento, disse Amador Descriptografar.
“A recompensa de insetos é a segunda mais cara, a mais cara é o hack”, disse ele, descrevendo uma hierarquia de custos que aumenta drasticamente em cada estágio.
“Estamos pegando bugs antes de atingirem a produção, antes mesmo de atingirem uma auditoria”, acrescentou Amador. “Isso nunca seria incluído em uma auditoria. Eles não perderiam seu tempo com isso”.
Enquanto a gravidade do hack permanece alta, Amador disse que “a taxa de incidência está diminuindo e o nível de gravidade da maioria dos bugs está diminuindo, e estamos pegando cada vez mais essas coisas nos estágios anteriores do ciclo”.
Quando perguntado sobre qual segurança única todos os projetos em Token2049 deve adotar, Amador pediu uma “plataforma de segurança unificada”, abordando vários vetores de ataque.
Isso é essencial, pois a segurança fragmentada força essencialmente os projetos a “fazer a pesquisa a si mesmo” em produtos, limitações e fluxos de trabalho, disse ele.
“Ainda não estamos no ponto em que podemos lidar com trilhões e trilhões de ativos. Nós simplesmente não estamos lá no horário nobre”.
Debrie diário Boletim informativo
Comece todos os dias com as principais notícias agora, além de recursos originais, um podcast, vídeos e muito mais.
Fontedecrypt
