Vulnerabilidades em Contratos Inteligentes Dranaram Criptomoedas de Bilhões de Dólares. Morpheus pode ser o primeiro IA já criada para prevenir isso.

Vamos começar com um número que deixará todos os desenvolvedores de criptomoedas desconfortáveis.
3,8 bilhões de dólares.
A quantia de dinheiro que foi roubada por exploits de contratos inteligentes em protocolos de criptomoedas em 2022 é ainda maior! Não quebras de mercado. Não golpes de tapete. Vulnerabilidades de código. Linhas de Solidity que fizeram coisas que os autores não pretendiam foram encontradas por um atacante antes mesmo dos desenvolvedores que as escreveram.
A ponte Wormhole é de 320 milhões de dólares. Uma condição de validação inválida foi encontrada.
A ponte do Ronin é de 625 milhões de dólares. Comprometimento de chave privada, devido a decisões tomadas na arquitetura do contrato.
Euler Finance. 197 milhões de dólares. Uma vulnerabilidade de reentrância que passou por várias auditorias.
Todos esses projetos foram desenvolvidos de forma inteligente. Auditores de segurança profissionais. Testes extensivos. E bilhões mais perdidos!
Estou refletindo sobre o "como" e o "porquê" dessa ocorrência contínua. Acho cada vez mais que, quanto mais penso, mais fica numa posição desconfortável na resposta.
Há uma limitação humana na segurança dos contratos inteligentes.
É disso que quero falar.
Uma grande aplicação DeFi pode exigir de 10.000 a 50.000 linhas de código Solidity. Relações entre vários contratos. Entradas incomuns que ocorrem apenas em combinações e/ou ordens incomuns. Ataques que envolvem mais do que apenas o código, mas também o que está nele para o atacante.
Auditores humanos estão bem. Os melhores são realmente excepcionais.
No entanto, humanos se cansam. Humanos perdem coisas quando estão pressionados pelo tempo! Eles podem entender bem o que o código faz, sem imaginar todos os ataques possíveis que poderiam ser feitos contra ele.
A parte que realmente me preocupa é esta.
A maioria dos bugs de contratos inteligentes não eram zero-days de ponta, mas sim vulnerabilidades bastante triviais de descobrir. Na maioria deles, eram documentadas há anos e conhecidas por padrões de vulnerabilidade como reentrância, estouro de inteiros, falhas no controle de acesso.
Padrões conhecidos. Soluções conhecidas. Repetidamente, e a um custo enorme, não foram vistas por revisores humanos.
Não é uma questão de talento. É um problema de escala e consistência.
Não é prático para humanos memorizarem todos os padrões de vulnerabilidade conhecidos e, ao mesmo tempo, investigarem novos padrões de código. Não é para isso que somos feitos, processamento paralelo.
A IA é.
É aqui que Morpheus realmente me envolve.
Morpheus não é um assistente de IA de propósito geral, é apenas um que acontece de conhecer um pouco de Solidity. Está sendo desenvolvido como um especialista do Engenheiro de Contratos Inteligentes, com o único objetivo de ser conhecedor de quais vulnerabilidades existem, como elas são aplicadas em um ataque e o “como fazer” das melhores práticas, junto com as inúmeras ocorrências de como o código de criptomoedas foi explorado ao longo dos anos.
Na maior parte do tempo, essa especialidade não é tão bem compreendida quanto deveria.
Da mesma forma que uma revisão de contrato inteligente pode usar modelos de IA geral, é como ter um cirurgião geral gênio realizando uma cirurgia cerebral. Eles poderiam detectar problemas facilmente visíveis. No entanto, o nível de reconhecimento de padrões que é desenvolvido por especialização e anos de treinamento em milhares de casos de vulnerabilidades, post-mortems de ataques e pesquisas de segurança é diferente.
Um modelo especialista não só conhece as ações do código, mas também suas intenções. Sabe o que o código pode ser manipulado para fazer por um indivíduo adversário.
A diferença entre revisão de código e revisão de segurança.
Mas há algumas limitações das quais preciso ser honesto.
Ferramentas de segurança de IA são tão boas quanto seus dados de treinamento. Se Morpheus for treinado usando um padrão de vulnerabilidade histórica na maior parte do tempo, será muito eficaz na detecção de vetores de ataque conhecidos. Novos tipos de ataque são mais difíceis porque ainda não estão documentados, pois ainda não foram executados.
Não se esqueça da questão da confiança. Não é surpresa que desenvolvedores de contratos inteligentes sejam céticos em relação a novas ferramentas de segurança. As consequências de um falso negativo (quando uma vulnerabilidade não é detectada) podem ser espetaculares. Fricção e frustração dos desenvolvedores são o custo de falsos positivos marcando código seguro como inseguro.
Levará algum tempo para construir a confiança dos desenvolvedores nas ferramentas de segurança de IA. Isso leva tempo.
Depois, há o problema de adaptação adversarial. À medida que a segurança de IA se torna a norma, também o serão os atacantes. Eles buscarão padrões que não são detectados pelos modelos de IA. Segurança é sempre uma corrida armamentista e trazer IA para a defesa não para essa corrida, apenas muda o que eles estão otimizando.
Mas Morpheus não pode ser considerado inútil por causa disso. Proposta de valor específica.
Hackers de contratos inteligentes não serão totalmente erradicados por Morpheus. O que ele pode fazer é dificultar o envio de código obviamente vulnerável de forma consistente, identificar padrões recorrentes e ajudar a remover o tempo que os auditores humanos gastam nos riscos conhecidos, permitindo que eles concentrem seu tempo escasso nos novos riscos que todos requerem julgamento humano.
Isso é algo bastante significativo.
3,8 bilhões de dólares em 2022. Se 20% dessas vulnerabilidades fossem descobertas com antecedência, e permanecessem nas carteiras dos usuários ao invés de endereços de atacantes, seriam 760 milhões de dólares que permanecem nas carteiras dos usuários.
O desafio para o ecossistema do OpenLedger é se Morpheus consegue estabelecer sua reputação e confiança dos desenvolvedores e se tornar uma etapa obrigatória no processo de desenvolvimento de contratos inteligentes, ao invés de uma opcional.
Quando atingir esse ponto, será uma infraestrutura no sentido mais literal.
Aquela que não é vista quando está em serviço e que é desastrosa quando não está.
Você foi pessoalmente impactado por um hack ou contrato inteligente explorado? O que você acha que uma ferramenta de segurança de IA poderia ter feito para evitar?