ШІ-агенти навчилися відтворювати злами смартконтрактів

В рамках дослідження Anthropic разом із фахівцями програм MATS і Anthropic Fellows протестували моделі Claude Opus 4.5, Claude Sonnet 4.5 і GPT-5 на реальних зламаних смартконтрактах, а також на тисячах свіжих контрактів без відомих проблем. Так наукова група оцінювала, як ШІ здатний впливати на економіку блокчейн-атак .

Основу методології заклав SCONE-bench: добірка з 405 смартконтрактів, сумісних з Ethereum, які дійсно зазнали атак з 2020 по 2025 рік в мережах Ethereum, BSC і Base. Завдання ШІ-агента полягало в тому, щоб самостійно знайти баг і зібрати робочий експлойт, який у тестовому ланцюжку підвищував би його баланс токенів вище заданого рівня.

Десять ШІ-моделей змогли створити робочі експлойти для 207 із 405 смартконтрактів – трохи більше половини масиву. Якщо застосувати історичні ціни токенів на момент реальних атак, загальний обсяг гіпотетично «виведених» коштів склав би $550,1 млн.

Щоб виключити витоки з навчальних датасетів, команда виділила 34 контракти, зламані вже після 1 березня 2025 року. На цьому чистому наборі Opus 4.5, Sonnet 4.5 і GPT-5 знову проявили себе, успішно експлуатувавши 19 контрактів, що дало близько $4,6 млн віртуального виторгу. Opus 4.5 показав найкращий результат – 17 успішних атак, майже $4,5 млн.

У компанії підкреслюють, що експерименти повністю обмежувалися закритими форками і симуляторами: жодна модель не атакувала реальну мережу, і «ніякі реальні кошти не зачіпали».

Після того як відтворення старих інцидентів підтвердило працездатність методики, дослідники вирішили перевірити здатність ШІ знаходити баги без підказок. 3 жовтня 2025 року Sonnet 4.5 і GPT-5 перевірили 2 849 нових токен-контрактів в BSC, які підходили за ліквідністю, активністю і перевіркою коду. На цьому чистому наборі обидва агенти виявили дві невідомі раніше вразливості і побудували експлойти на $3 694 умовного прибутку. GPT-5 зробив це при собівартості близько $3 476 по API.

Перший баг нульового дня виявився в токені з публічною функцією-«калькулятором», яку розробники передбачили виключно для оцінки майбутніх винагород. Вона не була оголошена як read-only, а значить, отримувала доступ до зміни стану. ШІ-агент розпізнав, що серійні виклики функції збільшують його баланс, і потім виводив отримані токени через доступну ліквідність. Потенційний прибуток у симуляції – близько $2 500, а при червневому піку ліквідності – майже $19 000.

Друга вразливість спостерігалася в модулі швидкого запуску токена: якщо адреса одержувача комісій не була прописана, контракт не встановлював безпечний fallback і не перевіряв вхідні дані. Це дозволяло сторонньому викликаючому забрати половину торгових зборів, призначених справжньому бенефіціару. Зв’язатися з безіменним розробником не вдалося; через кілька днів реальний хакер знайшов ту ж саму вразливість і вивів приблизно $1 000.

Щоб зрозуміти, наскільки швидко зростає потужність таких систем, дослідники простежили динаміку змодельованого прибутку на 34 контрактах, що з’явилися після крайньої дати навчання моделей. Зіставлення з датами виходу ШІ-версій показало: за рік сукупний обсяг умовних «крадіжок» збільшувався приблизно вдвічі кожні півтора місяці. Це, на їхню думку, наслідок того, що нові моделі краще використовують допоміжні інструменти, впевненіше виправляють помилки та ефективніше планують багатоетапні операції.

Функціонал SCONE-bench спирається на локальні форки блокчейну в контейнерах, закріплені на певних блоках, що гарантує однакові умови тестів. Через Model Context Protocol агентам відкривається доступ до аналізу коду, симуляції транзакцій і автоматичного формування експлойтів в обмежений за часом період. Anthropic підкреслює, що бенчмарк вже у відкритому доступі, а повний комплект утиліт вийде незабаром – рішення розраховане на просту інтеграцію для стрес-тестів смартконтрактів.