AI एजेंट ने ब्लॉकचेन स्मार्ट कॉन्ट्रैक्ट कमजोरियों से 4.6 मिलियन डॉलर का संभावित नुकसान खोजा

 (red.anthropic.com)
5 पॉइंट द्वारा GN⁺ 2025-12-05 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • AI मॉडल ने वास्तविक ब्लॉकचेन स्मार्ट कॉन्ट्रैक्ट कमजोरियों का दुरुपयोग करके 4.6 मिलियन डॉलर के नुकसान की संभावना को सिमुलेशन के माध्यम से साबित किया
  • शोध टीम ने 2020~2025 के बीच वास्तविक रूप से हैक किए गए 405 कॉन्ट्रैक्ट्स पर आधारित SCONE-bench बेंचमार्क बनाकर मूल्यांकन किया
  • Claude Opus 4.5, Sonnet 4.5, GPT-5 ने नॉलेज-कटऑफ के बाद के कॉन्ट्रैक्ट्स पर भी 55.8% हमलों में सफलता पाई
  • दो मॉडलों ने 2 नई ज़ीरो-डे कमजोरियाँ खोजीं और दिखाया कि वास्तविक वातावरण में भी स्वायत्त हमला तकनीकी रूप से संभव है
  • AI की अटैक क्षमता तेजी से बेहतर होते जाने के कारण, रक्षा उद्देश्य के लिए AI को अपनाना जरूरी है

SCONE-bench: स्मार्ट कॉन्ट्रैक्ट अटैक बेंचमार्क

  • शोधकर्ताओं ने स्मार्ट कॉन्ट्रैक्ट कमजोरियों के आर्थिक प्रभाव को मात्रात्मक रूप से मापने के लिए SCONE-bench विकसित किया
    • 2020~2025 के बीच वास्तविक रूप से एक्सप्लॉइट किए गए 405 कॉन्ट्रैक्ट्स को इसमें शामिल किया गया
    • Ethereum, Binance Smart Chain, Base जैसे 3 ब्लॉकचेन से संग्रहित
    • प्रत्येक कॉन्ट्रैक्ट को सिमुलेशन वातावरण (Docker आधारित) में पुनःनिर्मित किया जा सकता है
  • प्रत्येक AI एजेंट को 60 मिनट के अंदर कमजोरी खोजकर टोकन बैलेंस बढ़ाने वाला अटैक स्क्रिप्ट बनाना था
  • यह बेंचमार्क डिप्लॉयमेंट से पहले सुरक्षा जांच उपकरण के रूप में भी उपयोगी है

मुख्य प्रयोग परिणाम

  • 10 AI मॉडलों ने कुल 405 में से 207 (51.1%) सफलतापूर्वक अटैक किए, जिससे $550.10 मिलियन की सिमुलेशन हानि दर्ज हुई
  • 2025 के मार्च के बाद नए एक्सप्लॉइट हुए 34 कॉन्ट्रैक्ट्स पर किए गए मूल्यांकन में, Opus 4.5, Sonnet 4.5, GPT-5 ने 19 (55.8%) पर सफल अटैक किए
    • कुल हानि $4.6 मिलियन रही, जबकि Opus 4.5 अकेले $4.5 मिलियन तक पहुँचा
  • Sonnet 4.5 और GPT-5 ने 2,849 नई कॉन्ट्रैक्ट्स का विश्लेषण करके 2 ज़ीरो-डे कमजोरियाँ खोजीं
    • कुल कमाई $3,694, GPT-5 की API लागत $3,476
    • स्वायत्त अटैक की लाभप्रदता साबित हो गई

कमजोरियों के केस

  • कमजोरी #1: रीड-ओनली फंक्शन में view क्वालिफायर हटने से टोकन इन्फ्लेशन होता है
    • हमलावर ने बार-बार कॉल करके लगभग $2,500 का लाभ कमाया, अधिकतम $19,000 तक संभव
    • एक व्हाइट-हैट हैकर ने फंड रिकवर कर लिए
  • कमजोरी #2: फीस रिसीवर की सत्यापन प्रक्रिया गायब होने से किसी भी एड्रेस से फीस विदड्रॉ संभव
    • वास्तविक हमलावर ने 4 दिन बाद $1,000 के बराबर धन चुराया

खर्च विश्लेषण

  • GPT-5 एजेंट की कुल रन कॉस्ट $3,476, प्रति रन औसत $1.22
  • प्रति कमजोर कॉन्ट्रैक्ट औसत लागत $1,738, औसत कमाई $1,847, नेट प्रॉफिट $109
  • टोकन उपयोग 6 महीनों में 70.2% घटा, प्रत्येक जनरेशन में औसत 23.4% दक्षता सुधार
    • समान बजट में 3.4x अधिक सफल अटैक संभव

निष्कर्ष और निहितार्थ

  • सिर्फ 1 साल में AI एजेंटों की अटैक सफलता 2% → 55.88% और नुकसान $5,000 → $4.6 मिलियन हो गए
  • अटैक लाभ हर 1.3 महीने में दोगुना, टोकन खर्च हर 2 महीने में 23% कम
  • कॉन्ट्रैक्ट डिप्लॉय होने के बाद कमजोरी के एक्सप्लॉइट होने में लगने वाला समय काफी घटने की उम्मीद है
  • स्मार्ट कॉन्ट्रैक्ट ही नहीं, सभी सॉफ्टवेयर कोड AI अटैक के लक्ष्य बन सकते हैं
  • यही तकनीक डिफेंसिव AI एजेंट्स के लिए भी इस्तेमाल की जा सकती है, और AI-आधारित सुरक्षा ऑटोमेशन की जरूरत पर जोर दिया गया

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.