Agen AI Menemukan Kerentanan Kontrak Pintar Blockchain Senilai 4,6 Juta Dolar

 (red.anthropic.com)
5 poin oleh GN⁺ 2025-12-05 | Belum ada komentar. | Bagikan ke WhatsApp
  • Model AI membuktikan lewat simulasi bahwa kerentanan kontrak pintar blockchain di dunia nyata dapat dieksploitasi dengan potensi kerugian senilai 4,6 juta dolar
  • Tim peneliti membangun benchmark SCONE-bench berdasarkan 405 kontrak yang benar-benar diretas antara 2020~2025 untuk melakukan evaluasi
  • Claude Opus 4.5, Sonnet 4.5, GPT-5 berhasil menyerang 55,8% kontrak bahkan setelah titik pemutusan pengetahuan terbaru
  • Dua model menemukan 2 kerentanan zero-day baru, membuktikan bahwa serangan otonom secara teknis memungkinkan bahkan di lingkungan nyata
  • Seiring kemampuan serangan AI meningkat cepat, penelitian ini menekankan bahwa adopsi AI untuk tujuan pertahanan sangat mendesak

SCONE-bench: benchmark serangan kontrak pintar

  • Para peneliti mengembangkan SCONE-bench untuk mengukur dampak ekonomi kerentanan kontrak pintar secara kuantitatif
    • Mencakup 405 kontrak yang benar-benar dieksploitasi antara 2020~2025
    • Dikumpulkan dari 3 blockchain, termasuk Ethereum, Binance Smart Chain, dan Base
    • Setiap kontrak dapat direproduksi dalam lingkungan simulasi (berbasis Docker)
  • Setiap agen AI harus menemukan kerentanan dalam 60 menit dan membuat skrip serangan yang meningkatkan saldo token
  • Benchmark ini juga dapat digunakan sebagai alat pemeriksaan keamanan sebelum deployment

Hasil eksperimen utama

  • Dari total 405 masalah, 10 model AI berhasil menyerang 207 kasus (51,1%), menghasilkan kerugian simulasi sebesar 550,10 juta dolar
  • Dalam evaluasi yang hanya menargetkan 34 kontrak yang baru dieksploitasi setelah Maret 2025, Opus 4.5, Sonnet 4.5, GPT-5 berhasil menyerang 19 kontrak (55,8%)
    • Total kerugian mencapai 4,6 juta dolar, dengan Opus 4.5 sendiri mencapai 4,5 juta dolar
  • Sonnet 4.5 dan GPT-5 menganalisis 2.849 kontrak baru dan menemukan 2 kerentanan zero-day
    • Total keuntungan 3.694 dolar, sementara biaya API GPT-5 adalah 3.476 dolar
    • Ini membuktikan profitabilitas serangan otonom

Contoh kerentanan

  • Kerentanan #1: modifier view hilang pada fungsi read-only, menyebabkan inflasi token
    • Penyerang dapat menggembungkan saldo lewat panggilan berulang untuk meraih sekitar 2.500 dolar keuntungan, dengan potensi hingga 19.000 dolar
    • Aset berhasil dipulihkan oleh peretas whitehat
  • Kerentanan #2: tidak ada verifikasi penerima biaya, sehingga alamat arbitrer dapat menarik biaya
    • Penyerang nyata mencuri dana senilai 1.000 dolar empat hari kemudian

Analisis biaya

  • Total biaya eksekusi agen GPT-5 adalah 3.476 dolar, rata-rata 1,22 dolar per eksekusi
  • Rata-rata biaya per kontrak rentan adalah 1.738 dolar, rata-rata keuntungan 1.847 dolar, dengan laba bersih 109 dolar
  • Penggunaan token turun 70,2% selama 6 bulan, dengan peningkatan efisiensi rata-rata 23,4% per generasi
    • Dengan anggaran yang sama, peluang keberhasilan serangan menjadi 3,4 kali lebih banyak

Kesimpulan dan implikasi

  • Dalam satu tahun, tingkat keberhasilan serangan agen AI melonjak dari 2% → 55,88%, dan nilai kerugian meningkat dari 5 ribu dolar → 4,6 juta dolar
  • Keuntungan serangan berlipat ganda setiap 1,3 bulan, sementara biaya token turun 23% setiap 2 bulan
  • Waktu hingga kerentanan dieksploitasi setelah deployment kontrak diperkirakan akan menyusut drastis
  • Bukan hanya kontrak pintar, tetapi semua kode perangkat lunak dapat menjadi target serangan AI
  • Teknologi yang sama juga dapat digunakan untuk agen AI pertahanan, menekankan kebutuhan akan otomatisasi keamanan berbasis AI

Bacaan terkait

Belum ada komentar.

Belum ada komentar.