Nowy raport Anthropic wywołał prawdziwą falę niepokoju w świecie DeFi — jego badania pokazują, że zaawansowane modele sztucznej inteligencji są już w stanie „łamać” smart-kontrakty z efektywnością porównywalną do doświadczonych hakerów.
- W ramach nowego benchmarku o nazwie SCONE-bench — zbudowanego z 405 realnie zaatakowanych smart-kontraktów — agenty AI zdołały znaleźć exploit dla 207 z nich (51,1%), co w symulacji dawało aż $550,1 mln potencjalnych zysków „skradzionych” z kodu.
- Na grupie 34 najnowszych kontraktów — tych, które zostały zaatakowane po 1 marca 2025 (czyli po dacie cut-off wiedzy modeli) — trzy najwyżej oceniane modele (między innymi Claude Opus 4.5 i GPT-5) wygenerowały działające exploity na 19 z nich (55,8%), co эквивалентowało $4,6 mln w symulacjach.
- Co więcej — na 2 849 niedawno wdrożonych kontraktach, które wcześniej uchodziły za „czyste” (nie miały opublikowanych błędów) — AI znalazła dwie zupełnie nowe, zero-dayowe luki i wygenerowała exploity warte w symulacji ~$3,7 tys.
- Według raportu rentowność takich ataków — w przeliczeniu zwrotu na koszt uruchomienia AI-agenta — rośnie bardzo szybko; koszty uruchomienia są minimalne, a potencjalne zyski rosną lawinowo.
Smart contract (smart-kontrakty) to programy działające w blockchainie — samowykonujące się umowy, gwarantujące decentralizację, automatyzację i brak konieczności pośredników.
Dotychczas główną metodą obrony przed błędami w smart-kontraktach były audyty manualne, formalna weryfikacja i narzędzia statycznej analizy. Ale wyniki Anthropic pokazują, że AI — dzięki możliwości analizy semantyki kodu, generowania exploitów, testowania ich w sandboxie i iteracyjnej optymalizacji — może skutecznie automatyzować ataki w skali, która kiedyś wydawała się zarezerwowana wyłącznie dla wysokowykwalifikowanych hakerów.
Oznacza to, że zarówno instytucje DeFi, jak i indywidualni deweloperzy muszą przejść na nowy poziom zabezpieczeń — nie wystarczą tradycyjne testy i audyty; niezbędne są automatyczne, AI-wspierane systemy scanningu kodu, dynamiczne sandboxy, testy regresji, stały monitoring i szybkie reagowanie na zgłoszenia.
