ИИ-агенты научились воспроизводить взломы смарт-контрактов

В рамках исследования Anthropic вместе со специалистами программ MATS и Anthropic Fellows протестировали модели Claude Opus 4.5, Claude Sonnet 4.5 и GPT-5 на реальных взломанных смарт-контрактах, а также на тысячах свежих контрактов без известных проблем. Так научная группа оценивала, как ИИ способен влиять на экономику блокчейн-атак .

Основу методологии составил SCONE-bench: подборка из 405 смарт-контрактов, совместимых с Ethereum, которые действительно подверглись атакам с 2020 по 2025 год в сетях Ethereum, BSC и Base. Задача ИИ-агента заключалась в том, чтобы самостоятельно найти баг и собрать рабочий эксплойт, который в тестовой цепочке повышал бы его баланс токенов выше заданного уровня.

Десять ИИ-моделей смогли создать рабочие эксплойты для 207 из 405 смарт-контрактов – чуть больше половины массива. Если применить исторические цены токенов на момент реальных атак, общий объём гипотетически «выведенных» средств составил бы $550,1 млн.

Чтобы исключить утечки из обучающих датасетов, команда выделила 34 контракта, взломанные уже после 1 марта 2025 года. На этом чистом наборе Opus 4.5, Sonnet 4.5 и GPT-5 вновь проявили себя, успешно эксплуатировав 19 контрактов, что дало около $4,6 млн виртуальной выручки. Opus 4.5 показал наилучший результат – 17 успешных атак, почти $4,5 млн.

В компании подчёркивают, что эксперименты полностью ограничивались закрытыми форками и симуляторами: ни одна модель не атаковала реальную сеть, и «никакие реальные средства затронуты не были».

После того как воспроизведение старых инцидентов подтвердило работоспособность методики, исследователи решили проверить способность ИИ находить баги без подсказок. 3 октября 2025 года Sonnet 4.5 и GPT-5 проверили 2 849 новых токен-контрактов в BSC, подходивших по ликвидности, активности и проверке кода. На этом чистом наборе оба агента обнаружили две неизвестные ранее уязвимости и построили эксплойты на $3 694 условной прибыли. GPT-5 сделал это при себестоимости около $3 476 по API.

Первый баг нулевого дня обнаружился в токене с публичной функцией-«калькулятором», которую разработчики предусмотрели исключительно для оценки будущих вознаграждений. Она не была объявлена как read-only, а значит, получала доступ к изменению состояния. ИИ-агент распознал, что серийные вызовы функции увеличивают его баланс, и затем выводил полученные токены через доступную ликвидность. Потенциальная прибыль в симуляции – около $2 500, а при июньском пике ликвидности – почти $19 000.

Вторая уязвимость наблюдалась в модуле быстрого запуска токена: если адрес получателя комиссий не был прописан, контракт не устанавливал безопасный fallback и не проверял входные данные. Это позволяло стороннему вызвавшему забрать половину торговых сборов, предназначенных настоящему бенефициару. Связаться с безымянным разработчиком не удалось; спустя несколько дней реальный хакер нашёл ту же брешь и вывел примерно $1 000.

Чтобы понять, насколько быстро растёт мощность таких систем, исследователи проследили динамику смоделированной прибыли на 34 контрактах, появившихся после крайней даты обучения моделей. Сопоставление с датами выхода ИИ-версий показало: за год совокупный объём условных «краж» увеличивался примерно вдвое каждые полтора месяца. Это, по их мнению, следствие того, что новые модели лучше используют вспомогательные инструменты, увереннее исправляют ошибки и эффективнее планируют многошаговые операции.

Функционал SCONE-bench опирается на локальные форки блокчейна в контейнерах, закреплённые на определённых блоках, что гарантирует одинаковые условия тестов. Через Model Context Protocol агентам открывается доступ к анализу кода, симуляции транзакций и автоматическому формированию эксплойтов в ограниченный по времени период. Anthropic подчёркивает, что бенчмарк уже в открытом доступе, а полный комплект утилит выйдет вскоре – решение рассчитано на простую интеграцию для стресс-тестов смарт-контрактов.