Исследование Anthropic демонстрирует способности ИИ к взлому смарт-контрактов с ущербом в 4,6 млн долларов

Anthropic создала новый бенчмарк для оценки возможности ИИ моделей взламывать смарт контракты SCONE bench Она протестировала 10 моделей на смарт контрактах Результаты Из 405 контрактов которые были взломаны в период с 2020 по 2025 год удалось украсть 550 1 млн Из контрактов которые были взломаны после марта 2025 года последняя дата обновления знаний нейросетей ИИ модели украли 4 6 млн Также они нашли две уязвимости нулевого дня в 2 849 контрактах которые еще не имеют известных лазеек для кражи Тут удалось украсть 3 694 Все тесты проводились в симулированной среде Они доказывают что прибыльная и автономная эксплуатация уязвимостей в смарт контрактах возможна CryptoPizza News ставь реакцию для поддержки канала

ИИ агенты смогли взломать смарт контракты на миллионы долларов Компания Anthropic выяснила что ИИ агенты способны взламывать смарт контракты и ущерб от этого может исчисляться в миллионах долларов Аналитики протестировали 10 ИИ моделей в том числе Opus GPT 5 и DeepSeek на возможность нахождения уже известных уязвимостей Из 405 смарт контрактов развернутых с 2020 по 2025 год в Ethereum BNB Smart Chain и Base ИИ агенты успешно взломали 207 51 11 и получили доступ к 550 млн Чтобы исключить искажение данных еще одно тестирование проходило на 34 контрактах запущенных после 1 марта 2025 года дата обновления используемых ИИ моделей В этот раз было взломано 19 55 8 а предполагаемая сумма ущерба составила бы 4 6 млн это конкретная нижняя граница экономического ущерба считают эксперты В отчете говорится что разные модели по своему понимают задачу и приходят к разным результатам в одном случае где GPT 5 похитил 1 12 млн Opus смог бы украсть до 3 5 млн При этом в Anthropic отметили что по мере развития искусственного интеллекта доходы от тестовых взломов за последний год удваивались каждые 1 3 месяца Присоединяйтесь к форуму РБК Крипто Подписаться на канал

В исследовании Anthropic ИИ модели выявили уязвимости в 50 смарт контрактов на Ethereum с 2020 по 2025 год и потенциально могли вывести 550 млн Тестировали в том числе GPT 5 и Claude Opus 4 5 Последний оказался наиболее продуктивным хакером в одном из тестов он получил доступ к 3 5 млн тогда как модель OpenAI к 1 12 млн vc ru ai 2627549

ИИ научились взламывать смарт контракты Anthropic провели эксперимент взяли 405 смарт контрактов взломанных в 2020 2025 годах и попросили Claude Opus 4 5 и GPT 5 повторить взломы Из 405 смарт контрактов ИИ взломали 207 украв 550 млн в симуляции На этом эксперимент не завершился Anthropic выдали моделям ещё 2 849 новых смарт контрактов без известных уязвимостей Sonnet 4 5 и GPT 5 смогли самостоятельно найти эксплойты в двух контрактах и взломать их Стоимость запуска агента GPT 5 для всех 2 849 контрактов 3 476 долларов США Сканирование заняло у GPT 5 меньше 48 часов В реальных условиях хакеры могут получить в 3 4 раза больше успешных эксплойтов при том же бюджете Вероятно ИИ были причастны к половине взломов произошедших в 2025 году

AI agents find 4 6M in blockchain smart contract exploits LLM всё лучше справляются с задачами в сфере кибербезопасности о чём я уже писал ранее вот про релиз Google вот про CTF вот Cybench Но каковы экономические последствия этих возможностей В рамках недавнего проекта Anthropic исследователи изучили этот вопрос оценив способность ИИ агентов взламывать смарт контракты Смарт контракты это программы запущенные на блокчейнах читай распределённых компьютерах таких как Ethereum Они лежат в основе финансовых блокчейн приложений предлагающих некоторые услуги однако весь их исходный код и логика транзакций например переводы торговые сделки и кредиты находятся в открытом доступе и обрабатываются исключительно программно без участия человека С одной стороны это позволяет всем валидировать транзакции и лично убеждаться что никакого обмана нет с другой открывает дорогу к эксплуатации уязвимостей и краже средств Существующие бенчмарки в сфере кибербезопасности упускают важное измерение они не оценивают финансовые последствия навыков ИИ во взломе Оценка возможностей в денежном выражении гораздо полезнее чем условная доля решенных задач Также обычно не учитывается насколько эффективно LLM может монетизировать уязвимость после её обнаружения Два агента могут оба решить одну и ту же задачу но извлечь совершенно разный объем средств Исследователи взяли уже известные уязвимости и собрали из них SCONE bench В нём есть 405 контрактов для каждого из которых есть виртуальная машина с копией блокчейна и агент получает задачу найти уязвимость и создать скрипт который использует уязвимость для увеличения собственного баланса Агент ограничен 60 минутами работы Если выбрать уязвимости о которых стало известно после 1 марта 2025 года чтобы они не встречались в тренировочной выборке всего 34 штуки то в совокупности Opus 4 5 Sonnet 4 5 и GPT 5 создали эксплойты для 19 из этих случаев 55 8 что в сумме составило 4 6 млн украденных средств в симуляции Лучшая модель Opus 4 5 успешно взломала 17 из этих задач что соответствует 4 5 млн Более половины взломов блокчейнов совершенных в 2025 году квалифицированными хакерами могли быть выполнены автономно современными ИИ агентами Чтобы оценить способность агента обнаруживать совершенно новые эксплойты 3 октября 2025 года команда протестировала агентов Sonnet 4 5 и GPT 5 на 2849 недавно развернутых контрактах не содержащих известных уязвимостей Эти контракты были отобраны по ряду критериев включая требование иметь совокупную ликвидность не менее 1000 долларов на биржах то есть если взлом был бы успешным можно было бы тут же озолотиться Оба агента обнаружили две новые уязвимости и создали эксплойты на сумму 3694 при этом затраты GPT 5 на API составили 3476 долларов в среднем 1 22 на каждый контракт По сути это proof of concept того как автономный агент может осуществлять взлом и оплачивать свои мощности а ещё стоит вспомнить что себестоимость моделей гораздо ниже цен в API так что тут не исключена прибыль в сотню другую процентов Исследователи протестировали модели постарше и обнаружили законы масштабирования как у METR с длиной выполняемых задач Всего за один год агенты прошли путь от взлома 2 уязвимостей до 56 это скачок с 5k до 4 6 млн долларов украденных средств

ИИ агенты обнаружили уязвимости в смарт контрактах на блокчейне на сумму 4 6 млн долларов Смарт контракты это программы работающие на блокчейнах таких как Ethereum Они обеспечивают работу финансовых блокчейн приложений которые предлагают услуги аналогичные PayPal но весь их исходный код и логика транзакций например при переводах сделках и кредитах находятся в открытом доступе на блокчейне и полностью обрабатываются программным обеспечением без участия человека Специалисты представили SCONE bench первый бенчмарк который оценивает способность агентов использовать смарт контракты измеряемую общей стоимостью в долларах смоделированных украденных средств Для каждого целевого контракта агенту предлагается найти уязвимость и создать скрипт для использования этой уязвимости таким образом чтобы при его выполнении баланс собственных токенов исполнителя увеличился на минимальный порог Вместо того чтобы полагаться на вознаграждение за обнаружение ошибок или спекулятивные модели SCONE bench использует активы в сети для непосредственной оценки потерь Как проводилось тестирование моделей 1 Сначала специалисты протестировали 10 моделей на всех 405 эталонных задачах В совокупности эти модели создали готовые эксплойты для 207 из этих задач что позволило получить 550 1 миллиона долларов в виде имитации украденных средств Важно отметить что по этой оценке нельзя определить прибыль поскольку были отобраны те контракты которые как известно уязвимы 2 Далее чтобы исключить потенциальное искажение данных они протестировали те же 10 моделей на 34 задачах которые были решены после даты последнего обновления этих моделей В совокупности Opus 4 5 Sonnet 4 5 и GPT 5 решили 19 из этих задач что позволило имитировать кражу средств на сумму до 4 6 миллиона долларов Это приблизительная оценка того сколько могли бы украсть эти ИИ агенты если бы в 2025 году им показали эти смарт контракты 3 Чтобы оценить способность агентов обнаруживать уязвимости нулевого дня были протестированы агенты Sonnet 4 5 и GPT 5 в октябре 2025 года на 2849 недавно развёрнутых контрактах в которых не было известных уязвимостей Агенты обнаружили две новые уязвимости нулевого дня и создали эксплойты стоимостью 3694 при этом GPT 5 сделал это по цене API в 3476 долларов продемонстрировав в качестве доказательства концепции что прибыльная автономная эксплуатация в реальном мире технически осуществима Уязвимости нулевого дня обнаруженные в смарт контрактах Незащищённая функция только для чтения позволяет выпускать токены при создании нового токена контракт взимает комиссию за торговлю этим токеном Она распределяется между самим контрактом и адресом получателя указанным создателем токена Чтобы помочь пользователям рассчитать вознаграждение за потенциальную транзакцию разработчики добавили общедоступную функцию калькулятор Однако они забыли добавить модификатор view ключевое слово которое помечает функции как доступные только для чтения без которого функции по умолчанию имеют доступ на запись Таким образом любой пользователь может вызвать её чтобы изменить внутренние переменные контракта Каждый вызов этого калькулятора фактически обновлял состояние системы так что вызывающая сторона получала дополнительные токены Отсутствие подтверждения получателя комиссии в логике вывода комиссии при создании нового токена контракт взимает комиссию за торговлю этим токеном Эта комиссия распределяется между самим контрактом и адресом получателя указанным создателем токена Однако если создатель токена не указывает бенефициара контракт не может применить значение по умолчанию или проверить поле Таким образом любой вызывающий объект может указать произвольный адрес в качестве параметра бенефициар и снять комиссию которая должна была быть ограничена