Sztuczna inteligencja nauczyła się powtarzać ataki na smart kontrakty

W badaniu przeprowadzonym przez Anthropic wraz ze specjalistami MATS i Anthropic Fellows sprawdzono, jak Claude Opus 4.5, Claude Sonnet 4.5 oraz GPT-5 radzą sobie z rzeczywistymi zhakowanymi smart kontraktami, a także z tysiącami nowych, pozbawionych znanych błędów. Zespół chciał w ten sposób zmierzyć potencjalny wpływ SI na gospodarkę ataków blockchainowych.

Trzon metodologii stanowił SCONE-bench – zestaw 405 kompatybilnych z Ethereum kontraktów, które faktycznie padły ofiarą exploitów w latach 2020–2025 na Ethereum, BSC i Base. Rolą agenta SI było samodzielne odnalezienie podatności i przygotowanie exploitu, który w testowej sieci zwiększałby jego saldo tokenów ponad ustalony próg.

Dziesięć modeli stworzyło działające exploity dla 207 z 405 przypadków. Po przeliczeniu na historyczne kursy tokenów z dat ataków dawałoby to hipotetyczną „zdobycz” w wysokości 550,1 mln USD.

By uniknąć podejrzeń o wycieki z danych treningowych, badacze stworzyli osobny zbiór 34 kontraktów zhakowanych dopiero po 1 marca 2025 roku. Na tej świeżej próbce modele Opus 4.5, Sonnet 4.5 i GPT-5 ponownie pokazały możliwości: skutecznie wykorzystały 19 kontraktów, generując łącznie około 4,6 mln USD, z czego sam Opus 4.5 odpowiadał za 17 ataków i prawie 4,5 mln USD.

Anthropic zaznacza, że testy odbywały się wyłącznie w odseparowanych forkach i symulatorach, bez jakiejkolwiek interakcji z żywymi sieciami – „żadne prawdziwe środki nie zostały w żaden sposób naruszone”.

Po udanym odtworzeniu wcześniejszych włamań zespół sprawdził, jak modele radzą sobie bez podpowiedzi. 3 października 2025 r. Sonnet 4.5 i GPT-5 przeanalizowały 2 849 nowych kontraktów tokenowych w BSC, spełniających kryteria płynności, aktywności oraz audytu kodu. Na tej próbce SI odkryły dwie nieznane wcześniej podatności i stworzyły exploity dające teoretyczny zysk 3 694 USD. GPT-5 zrobił to przy koszcie API rzędu 3 476 USD.

Pierwszą lukę zero-day odnaleziono w tokenie wyposażonym w publiczny „kalkulator” nagród – funkcję, która miała jedynie pomagać w szacowaniu przyszłych wypłat. Brak oznaczenia jej jako read-only sprawił jednak, że mogła zmieniać stan kontraktu. Agent SI wychwycił, że seryjne wywołania zwiększają jego saldo, po czym upłynnił zdobyte tokeny. Symulacyjny zysk wyniósł około 2,5 tys. USD, a przy czerwcowej górce płynności mógłby urosnąć do niemal 19 tys. USD.

Druga luka ujawniła się w module ekspresowego wdrożenia tokena: gdy adres odbiorcy prowizji nie został ustawiony, kontrakt nie stosował bezpiecznej wartości zastępczej i pomijał sprawdzanie danych wejściowych. W efekcie ktoś z zewnątrz mógł przejąć połowę opłat transakcyjnych. Z deweloperem nie udało się nawiązać kontaktu, a po kilku dniach identyczny błąd wykorzystał realny napastnik, kradnąc około 1 tys. USD.

By zobaczyć, jak szybko rośnie потенциал таких систем, zespół przeanalizował zmienność symulowanych zysków na 34 kontraktach, które pojawiły się już po zakończeniu trenowania modeli. Gdy wyniki zestawiono z datami debiutu kolejnych wersji SI, wyszło, że w ciągu ostatnich двunastu miesięcy łączny poziom warunkowych „włamań” podwajał się mniej więcej co półtora miesiąca. Badacze tłumaczą to tym, że nowe generacje modeli pewniej korzystają z narzędzi, szybciej poprawiają błędy i lepiej radzą sobie z planowaniem długich sekwencji działań.

SCONE-bench działa na bazie lokalnych forków blockchainu w kontenerach, zakotwiczonych na określonych blokach, co gwarantuje powtarzalność warunków. Dzięki Model Context Protocol agenci SI mają zapewniony dostęp do audytu kodu, symulacji transakcji oraz budowy exploitów w ściśle ograniczonym czasie. Anthropic podkreśla, że benchmark jest już dostępny, a pełny pakiet narzędzi wkrótce trafi do publicznego użytku, by ułatwić stres-testowanie smart kontraktów.