NFT & DeFi
Атака на npm: червь Shai Hulud заразил сотни пакетов (включая библиотеки ENS). Что это значит для крипто-команд и как защититься
24-11-2025, 15:57
ИИ уже помогает взламывать смарт-контракты: как работают AI-агенты, где риски и что делать командам и инвесторам
ИИ уже помогает взламывать смарт-контракты. Технологии агентных LLM-систем ускоряют весь цикл атаки — от анализа кода и моделирования состояний до сборки рабочего PoC и ончейн-эксплуатации. В результате сокращается «время до уязвимости», а порог входа для злоумышленников падает. В материале — как это работает, какие угрозы приближаются к DeFi/смарт-контрактам, и что делать командам, разработчикам и частным инвесторам.
Содержание
- 1) Что изменилось: от «помощника» к атакующему агенту
- 2) Факты и метрики: где уже видно ускорение
- 3) «Автономные» атаки ИИ: реальность против хайпа
- 4) Как ИИ ускоряет атаки на смарт-контракты (конструктивно и без рецептов)
- 5) Типовые классы уязвимостей и почему AI-агенты к ним «липнут»
- 6) Supply-chain сегодня: npm-червь Shai-Hulud и риски для Web3
- 7) Риск «встроить» уязвимость через код-ассистентов
- 8) Оборона по-взрослому: дизайн, процессы, мониторинг
- 9) Плейбуки для CISO/CTO/тимлида и трейдера
- FAQ
- Полезные ссылки
1) Что изменилось: от «помощника» к атакующему агенту
Если в 2023–2024-м LLM оставались «ассистентами» разработчика, то в 2025-м на сцену вышли агенты: оркестраторы, которые умеют выстраивать цепочки действий, вызывать внешние инструменты (фаззеры, тест-раннеры, компиляторы), сохранять контекст и проверять гипотезы до тех пор, пока не получат подтверждённый результат. На референсной выборке из сотен реальных контрактов такие системы уже демонстрируют способность находить и воспроизводить эксплойты с денежным эффектом — за считанные циклы «анализ → попытка → верификация».
В научных работах описываются архитектуры «LLM → агент → инструменты»: LLM формулирует стратегию, агент разлагает задачу на шаги, а специализированные инструменты (профайлеры, симуляторы, статанализ) дают сигналы обратной связи. Некоторые прототипы прямо позиционируются как end-to-end генераторы эксплуатаций — от чтения кода до рабочего PoC в песочнице.
2) Факты и метрики: где уже видно ускорение
Референс-бенчмарки. Недавний открытый бенчмарк на 405 смарт-контрактах с реальными уязвимостями (Ethereum-совместимые сети) показывает: базовый агент, работающий в выделенной среде с ограничением по времени, способен находить и подтверждать уязвимости, суммарно имевшие денежный эффект порядка миллионов долларов США. Это не теория — это аппроксимация по реальным инцидентам 2020–2025.
Фоновые потери отрасли. Только за один месяц 2025-го объём зафиксированных потерь из-за атак, багов и мошенничества в Web3 оценивался в сотни миллионов долларов; при этом часть инцидентов удаётся заморозить/вернуть. Эти цифры не доказывают «вину ИИ», но показывают вал возможностей, на который ложится ускорение, приносимое агентами.
3) «Автономные» атаки ИИ: реальность против хайпа
Резонансные заявления о «почти автономных» атаках с участием LLM пока вызывают дискуссии: эксперты спорят о доле человеческого участия и реальной «самостоятельности» модели. Консенсус здесь такой: даже частично автоматизированные связки «человек+LLM-агент» кратно снижают порог входа и делают операции более масштабируемыми — это уже меняет правила игры.
4) Как ИИ ускоряет атаки на смарт-контракты (конструктивно и без рецептов)
Важно: ниже — не «инструкция», а модель угроз: что сегодня умеют атакующие связки и как защититься.
- Наведение и «картирование» кода. Агент извлекает ABI, строит граф вызовов, отмечает точки внешних взаимодействий/делегирований, зеркалит известные паттерны уязвимостей; далее — быстрые гипотезы и отсев в песочнице.
- Склейка PoC. Генерация минимального теста (Foundry/Hardhat-стила) с последовательностью шагов, подстановкой начальных состояний и «грязных» параметров; многократные итерации с обратной связью до «зелёного» прогона.
- Комбинирование техник. Сочетание статанализа, символьного выполнения, фаззинга и эвристик LLM сокращает слепые зоны и ускоряет выход к воспроизводимой ошибке.
- Автоматизация рутины. Агент сам пишет обвязку, формирует транзакции, подбирает газ/тайминг, проверяет успешность, логирует артефакты. Это снимает барьер «низкий навык → высокий ущерб».
5) Типовые классы уязвимостей и почему AI-агенты к ним «липнут»
| Семейство | Почему часто срабатывает | Примета в коде/дизайне |
|---|---|---|
| Реэнтранси | Хорошо «угадывается» по паттернам вызова/обновления состояния | Внешний вызов до фиксации инварианта; отсутствие reentrancy guard |
| Манипуляции оракулом/ценой | Лёгкая проверка гипотез в песочнице/локальном forking | Непрозрачные источники цены, усреднение «по месту» |
| Доступ и роли | LLM быстро находит рассинхрон в модификаторах/инициализации | Забытые owner-пути, некорректные onlyRole, upgradable-ловушки |
| Пере/недо-проверки инвариантов | Комбинаторный поиск «пограничных» параметров | Отсутствие require/assert на критических шагах |
Крупные исследовательские команды уже публикуют обзоры «дальнобойных» уязвимостей и их пост-моремы, подчёркивая: аудит — не точка, а начало непрерывной защиты.
6) Supply-chain сегодня: npm-червь Shai-Hulud и риски для Web3
Даже идеальный контракт уязвим, если цепочка поставки проклята. Осенью-зимой 2025 в npm развернулась одна из крупнейших worm-style кампаний Shai-Hulud/«Second Coming»: сотни скомпрометированных пакетов, десятки тысяч «засорённых» репозиториев, кража секретов CI/CD и масштабная автоматизация распространения. Для Web3-разработчиков это критично: именно такие пакеты часто встречаются в toolchain проекта.
Атака вышла за пределы одного реестра (затронуты зависимостями многие популярные проекты) и эволюционировала по скорости/агрессивности. Для команд это означает необходимость жёстких политик публикации, MFA, заморозок авто-обновлений и инструментов детекта.
7) Риск «встроить» уязвимость через код-ассистентов
Исследования 2024–2025 показывают: LLM-ассистенты нередко генерируют небезопасный код (и при этом повышают «уверенность» разработчика), редко предупреждают о рисках и в некоторых сценариях ухудшают качество защиты. Это относится и к контрактам, и к вспомогательному бэкенду, который взаимодействует с ончейн-логикой. Итого: ускорение — да; автоматическая безопасность — нет.
Отдельная проблема — обход защит самих моделей («джейлбрейки») и появление нелегальных «тёмных» LLM, изначально лишённых ограничений: они помогают новичкам за часы собрать рабочие вредоносные инструменты и сценарии. Это снижает порог и расширяет пул потенциальных атакующих.
8) Оборона по-взрослому: дизайн, процессы, мониторинг
- Проектирование «с запасом прочности»
Стартуйте от предпосылки «приватный ключ может утечь»: разделение полномочий, timelock, многоуровневые роли, минимизация привилегий, отдельные ключи на управление/казначейство/операции. - Непрерывная безопасность после аудита
Аудит — только начало. Введите пост-деплой мониторинг инвариантов, алерты на аномалии, планы экстренной приостановки/апгрейда, регулярный threat-hunting. - Жёсткая гигиена supply-chain
Подписанные релизы, MFA, запрет postinstall-скриптов в CI, «пинование» зависимостей, периодические инвентаризации, реагирование на IoC Shai-Hulud. - AI-безопасность как процесс
Запрет «чёрных» LLM; политика на джейлбрейки; локальные «правила безопасного ассистирования» (review+tests), статанализ+фаззинг перед мерджем.
9) Плейбуки для CISO/CTO/тимлида и трейдера
9.1 Для СISO/CTO/тимлида смарт-контрактов
| Сигнал | Почему это важно | Что делать |
|---|---|---|
| Скачок «шумных» тестов/форк-запусков вокруг вашего кода | Признак перебора гипотез агентом против ваших контрактов | Усилить мониторинг мемпула/форков; проверить инварианты; поднять алерты |
| Аномалии в CI/CD и зависимостях | Возможный след supply-chain кампаний (Shai-Hulud-подобные) | Заморозить авто-апдейты, ревок токенов, пересоздание секретов |
| Необычные ончейн-последовательности | Агенты часто «тычут» крайние параметры и редкие ветки | Сигнатуры на редкие paths; лимиты; «kill-switch» процедурно |
9.2 Для трейдера/инвестора в DeFi
- Проверка дизайна и публичных материалов. Есть ли timelock, роли, апгрейды, бридж-поведение? (смотрите документацию, ончейн-метаданные)
- Ликвидность и её «качество». Спреды/глубина на ключевых парах, а не «на витрине».
- История инцидентов и «пост-мортемы». Есть ли честные отчёты, баг-баунти, скорость исправлений.
- Экспозиция на сторонние зависимости. Чем меньше «магии» в цепочке поставки — тем лучше.
FAQ
Может ли ИИ «сам» взломать контракт без человека?
Пока что подобные кейсы скорее гибридны: человек задаёт цели, выбирает стратегию и принимает финальные решения; агент автоматизирует рутину и ускоряет перебор гипотез. Но даже это уже снижает порог входа и повышает риск.
Что важнее — аудит или мониторинг?
И то, и другое. Аудит закрывает класс типовых ошибок до релиза, мониторинг ловит уязвимости дизайна/экосистемы после релиза. Нужны оба слоя, причём с формализованными сценариями реагирования.
Правда ли, что LLM-ассистенты «пишут небезопасный код»?
Исследования фиксируют немалую долю уязвимостей в сгенерированном коде и низкую частоту предупреждений о рисках; это не «запрет к использованию», а требование к процессу review+тестов.
Чем опасны «тёмные» LLM (без ограничений)?
Они позволяют малоквалифицированным злоумышленникам быстро собирать вредоносные инструменты и сценарии, снижая порог входа. Это расширяет пул атакующих и увеличивает частоту попыток.
Полезные ссылки
- Что такое DeFi: базовые принципы, риски и механики
- Фишинг и социальная инженерия в крипте: как распознать и не попасться
См. также
Материал носит исключительно информационный характер и не является индивидуальной инвестиционной рекомендацией (ФЗ-39). Криптовалюты не являются законным средством платежа в РФ (ФЗ-259).
Комментариев нет