No entanto, os dois maiores incidentes não foram simples explorações de contratos inteligentes do tipo que a IA poderia conceber.
Em um deles, um grupo ligado à Coreia do Norte drenou cerca de US$ 285 milhões do Drift Protocol após uma campanha de engenharia social de seis meses que lhe rendeu acesso administrativo. Por outro lado, o invasor explorou uma falha de verificador único que permitiu que cerca de US$ 292 milhões fossem desviados do Kelp DAO.
Outro exemplo ocorreu na terça-feira, quando o Humanity Protocol, um serviço descentralizado de identidade humana, perdeu mais de US$ 30 milhões devido a um comprometimento de chave privada. A CoinDesk descobriu que um hacker obteve acesso a três das seis chaves privadas no laptop de um funcionário,
É aí que está o problema. Embora as solicitações mais óbvias de contratos inteligentes possam ser exatamente aquelas que os filtros da Anthropic foram projetados para capturar, as maiores perdas não precisaram de um bug contratual.
As explorações, observou Guillemet, da Ledger, vêm de pontos fracos familiares: engenharia social, fluxos de assinatura incorretos, chaves expostas e erro humano.
Um modelo como o Fable não precisa entregar uma exploração concluída para mudar a economia de um ataque. Ele pode ler repositórios públicos, comparar versões antigas de software, resumir relatórios de auditoria e redigir mensagens convincentes que procuram pequenos erros operacionais que os humanos não percebem.
“Essas explorações permanecem enraizadas na engenharia social e no erro humano.”
Um defensor, em tal ambiente, precisa proteger todos os caminhos de chave, todas as dependências, todos os fluxos de assinatura e todas as contas privilegiadas. Como a IA acelera a fase de reconhecimento, a etapa final de assinatura torna-se mais importante. As chaves privadas precisam ficar em algum lugar que um laptop comprometido não possa alcançar, e os usuários precisam de uma tela confiável que mostre o que eles estão realmente aprovando.
Fonte: Folha SP
