Yapay zeka ajanı, blok zinciri akıllı sözleşme zaafiyetlerinde 4,6 milyon dolarlık kayıp tespit etti

 (red.anthropic.com)
5 puan yazan GN⁺ 2025-12-05 | Henüz yorum yok. | WhatsApp'ta paylaş
  • Yapay zeka modeli gerçek blok zinciri akıllı sözleşme zaafiyetlerini istismar ederek 4,6 milyon dolarlık potansiyel kaybı simülasyonla kanıtladı
  • Araştırmacılar, 2020–2025 arasında gerçekten hacklenen 405 sözleşmeye dayalı bir SCONE-bench benchmark oluşturarak değerlendirme yaptı
  • Claude Opus 4.5, Sonnet 4.5 ve GPT-5, en yeni bilgi kesim tarihi sonrası olan sözleşmelerde bile %55.8 oranında başarılı saldırı gerçekleştirdi
  • İki model, 2 yeni sıfır-gün zaafiyeti bularak gerçek ortamda da otonom saldırının teknik olarak mümkün olduğunu kanıtladı
  • Yapay zekanın saldırı kabiliyeti hızla artarken, savunma odaklı yapay zeka kullanımının acil olduğu vurgulandı

SCONE-bench: Akıllı sözleşme saldırı benchmark'u

  • Araştırmacılar, akıllı sözleşme zaafiyetinin ekonomik etkisini nicel olarak ölçmek için SCONE-bench geliştirdi
    • 2020–2025 arasında gerçek hayatta kötüye kullanılan 405 sözleşmeyi içeriyor
    • Ethereum, Binance Smart Chain ve Base olmak üzere 3 blok zincirinden toplandı
    • Her sözleşme, simülasyon ortamında (Docker tabanlı) yeniden üretilebilir
  • Her AI ajanı, 60 dakika içinde zaafiyeti bularak token bakiyesini artıran bir saldırı betiği üretmek zorunda
  • Benchmark, ön dağıtım güvenlik denetim aracı olarak da kullanılabilir

Ana deney sonuçları

  • 10 AI modeli, toplam 405 sorunun 207'sini (%51.1) başarıyla saldırdı ve 550,1 milyon dolarlık bir simülasyon kaybı oluşturdu
  • 2025 Mart sonrası yeni sömürülen 34 sözleşmeyle yapılan değerlendirmede, Opus 4.5, Sonnet 4.5 ve GPT-5 19'unu (%55.8) saldırı başarılı oldu
    • Toplam kayıp 4,6 milyon dolar oldu; Opus 4.5 tek başına 4,5 milyon dolar sağladı
  • Sonnet 4.5 ve GPT-5, 2.849 yeni sözleşmeyi analiz ederek 2 sıfır-gün zaafiyeti keşfetti
    • Toplam gelir 3.694 dolar, GPT-5 API maliyeti 3.476 dolar
    • Otonom saldırının kârlılığı kanıtlandı

Zaafiyet örnekleri

  • Zaafiyet #1: Okunabilirlik kısıtı olan fonksiyonda view niteleyici eksikliği nedeniyle token enflasyonu oluşur
    • Saldırganın tekrar eden çağrılarla bakiyeyi şişirmesiyle yaklaşık 2.500 dolarlık kazanç, en fazla 19.000 dolar mümkün
    • White hat hacker varlıkları kurtardı
  • Zaafiyet #2: Ücret alıcısı doğrulaması eksik olduğundan herhangi bir adresin ücretleri çekebilmesi mümkün olur
    • Gerçek bir saldırgan, 4 gün sonra 1.000 dolarlık fon çaldı

Maliyet analizi

  • GPT-5 ajanının toplam çalıştırma maliyeti 3.476 dolar, çalıştırma başına ortalama 1,22 dolar
  • Zaafiyeti bulunan 1 sözleşme başına ortalama maliyet 1.738 dolar, ortalama gelir 1.847 dolar, net kâr 109 dolar
  • Token kullanımı 6 ayda %70,2 azaldı, jenerasyon başına ortalama %23,4 verim artışı gözlendi
    • Aynı bütçeyle 3,4 kat daha fazla başarılı saldırı yapılabilir

Sonuç ve çıkarımlar

  • Bir yıl içinde AI ajanlarının saldırı başarı oranı %2 → %55,88'e, kayıp tutarı ise 5.000 dolar → 4,6 milyon dolar seviyesine yükseldi
  • Saldırı geliri her 1,3 ayda bir iki katına çıkıyor, token maliyeti her 2 ayda %23 düşüyor
  • Sözleşme dağıtıldıktan sonra zaafiyetin sömürülmesine kadar geçen sürenin keskin biçimde kısalması bekleniyor
  • Akıllı sözleşmelerin yanı sıra tüm yazılım kodları da yapay zeka saldırısının hedefi olabilir
  • Aynı teknoloji savunma odaklı AI ajanlarıyla da kullanılabilir ve yapay zeka tabanlı güvenlik otomasyonunun gerekliliği vurgulanır

İlgili okumalar

Henüz yorum yok.

Henüz yorum yok.