A person examining a circuit board in a dimly lit
AI

सुरक्षा कंपनियों का चेतावनी: AI से स्मार्ट कॉन्ट्रैक्ट…

हालिया हमलों ने सक्रिय और "बंद" DeFi तैनाती दोनों को प्रभावित किया, जिससे विरासत-समझौता जोखिम जीवित रहा।

AI News Crypto Editorial Team द्वारा4 मिनट का पठन

सुरक्षा शोधकर्ता चेतावनी दे रहे हैं कि AI-सहायता प्राप्त कमजोरियों की खोज स्मार्ट कॉन्ट्रैक्ट ऑडिट की प्रभावी आयु को संकुचित कर रही है और प्रोटोकॉल को निरंतर समीक्षा की ओर धकेल रही है। हाल के घटनाक्रम दिखाते हैं कि हमलावर पुराने और यहां तक कि बंद हो चुके DeFi कोडबेस को फिर से देख रहे हैं ताकि नए नुकसान निकाल सकें।

मुख्य निष्कर्ष

  • निरंतरस्मार्ट कॉन्ट्रैक्टसमीक्षा को आवश्यक माना जा रहा है क्योंकि हमलों की तकनीकें समय-समय पर विकसित होती हैं।ऑडिट्स.
  • हैकर्स ने 2026 के पहले आधे में $1.32 बिलियन चुराए, और सुरक्षा शोधकर्ताओं का कहना है कि पुराने कोडबेस पर दोबारा गौर करना एक दोहराई जाने वाली रणनीति बनती जा रही है।
  • एक चार साल पुरानी Zcash की सुरक्षा कमजोरी, जिसमें अदृश्य जालसाजी की संभावना थी, को Anthropic के Claude Opus 4.8 द्वारा संचालित एक कस्टम एजेंट का उपयोग करके पाया गया और इसे पैच कर दिया गया है।
  • “निष्क्रिय” DeFi अभी भी प्रभावित हो रहा है: Aztec Connect ने 2023 में बंद होने के बाद $2.1 मिलियन खो दिए, और mySwap को फ्रंट-एंड बंद होने के बावजूद $300,000 का शोषण किया गया।

AI ने DeFi के लिए ऑडिट विंडो को संकुचित किया

मुख्य बदलाव समय है। जैसे-जैसे AI उपकरणों की गति और कमजोरियों की खोज का पैमाना बेहतर होता है, एक ऑडिट स्थायी मुहर की तरह कम और उस समय हमलावरों द्वारा किए जा सकने वाले कार्यों का दिनांकित स्नैपशॉट अधिक बन जाता है जब इसे किया गया था।

TRM Labs के नीति प्रमुख एरी रेडबोर्ड ने इसे स्पष्ट रूप से कहा: “हमारे डेटा का तर्क है कि एक बार के ऑडिट के बजाय निरंतर समीक्षा होनी चाहिए,” यह जोड़ते हुए कि “हमले की तकनीकें एकल ऑडिट के लॉन्च दिन से अधिक तेजी से आगे बढ़ रही हैं।” उन्होंने यह भी चेतावनी दी, “पिछले वर्ष के हमले के पैटर्न के लिए बनाया गया ऑडिट इस वर्ष के लिए प्रोटोकॉल को उजागर करता है क्योंकि बुरे अभिनेता बदल रहे हैं।”

व्यापारियों के लिए, इसका अर्थ सीधा है। ऑडिट की स्थिति समय-संवेदनशील होती जा रही है, और “ऑडिट किया गया” अब “कम शोषण जोखिम” के लिए एक मजबूत प्रॉक्सी नहीं है जब तक कि प्रोटोकॉल निरंतर समीक्षा और सुधार दिखा न सके।

खतरे के पीछे के नंबर: H1 2026 में $1.32B चोरी

CertiK ने 2026 के पहले आधे में चोरी को $1.32 बिलियन के रूप में आंकड़ा, हमलावरों की रणनीतियों को उद्योग में सुरक्षा उपायों के मजबूत होने के साथ-साथ लगातार जटिल बताया। एक व्यवहार बाजार संरचना के लिए खड़ा है: हमलावर पुराने कोडबेस पर फिर से लौट रहे हैं, संभवतः “स्केल पर छिपी कमजोरियों की पहचान के लिए बेहतर स्वचालित उपकरणों द्वारा सहायता प्राप्त।”

यह महत्वपूर्ण है क्योंकि यह हमले की सतह को नए लॉन्च और सुर्खियों में आने वाले अपग्रेड से परे बढ़ाता है। 72.3 बिलियन डॉलर से अधिक की क्रिप्टो विभिन्न DeFi प्रोटोकॉल में लॉक की गई है, प्रोत्साहन सेट इतना बड़ा है कि “विरासत” एक शिकार का मैदान बन जाता है, न कि एक कब्रिस्तान।

CertiK का ढांचा जोखिम मूल्य निर्धारण के लिए सही मानसिक मॉडल है: “अधिकतम कमजोरियों की विंडो लॉन्च के बाद बंद नहीं होती।”

प्रूफ पॉइंट्स: Zcash का क्लॉड-पावर्ड खोज और पोस्ट-शटडाउन DeFi शोषण

AI-सहायता प्राप्त ऑडिट पहले से ही उच्च-गंभीर परिणाम उत्पन्न कर रहा है। शील्डेड लैब्स के सुरक्षा इंजीनियर टेलर हॉर्नबी ने एंथ्रोपिक के क्लॉड ओपस 4.8 द्वारा संचालित एक कस्टम ऑडिटिंग एजेंट का उपयोग करके एक प्रमुख Zcash कमजोरी पाई। यह समस्या चार वर्षों से मौजूद थी और यह ऑर्चर्ड शील्डेड पूल के अंदर अव्यक्त नकलीकरण को सक्षम कर सकती थी। बग को पैच कर दिया गया है।

एंथ्रोपिक ने दिसंबर के एक अध्ययन का भी उल्लेख किया जिसमेंAI एजेंटोंने स्मार्ट कॉन्ट्रैक्ट्स में $4.6 मिलियन मूल्य के शोषण योग्य कमजोरियों की पहचान की, जिससे यह विचार मजबूत होता है कि एजेंट-आधारित खोज सिद्धांतात्मक नहीं है।

दूसरा प्रमाण बिंदु परिचालन है, तकनीकी नहीं। 14 जून को, हैकरों ने Aztec Connect से $2.1 मिलियन चुरा लिए, जबकि प्रोटोकॉल मार्च 2023 से बंद था। पांच दिन बाद, mySwap का स्मार्ट कॉन्ट्रैक्ट $300,000 के लिए शोषित किया गया, भले ही इसका उपयोगकर्ता इंटरफेस नए तरलता जमा के लिए छह महीने से अधिक समय से बंद था। यदि कॉन्ट्रैक्ट तैनात, कॉल करने योग्य, या अभी भी मूल्य रखते हैं, तो शटडाउन और UI बंद करना जोखिम को समाप्त नहीं करता।

जब पुनर्मूल्यांकन बार-बार संचालन बन जाते हैं तो व्यापारी क्या निगरानी कर सकते हैं

सबसे साफ संकेत नए शोषण शीर्षक होंगे जो विरासत या निष्क्रिय DeFi कॉन्ट्रैक्ट्स से जुड़े होंगे, विशेष रूप से जहां फ्रंट एंड ऑफ़लाइन हैं लेकिन कॉन्ट्रैक्ट जीवित हैं। वहीं पर "मृत प्रोटोकॉल" धारणाओं का तनाव परीक्षण किया जाता है।

दूसरा, एकल ऑडिट घोषणाओं से बार-बार पुनर्मूल्यांकन, निरंतर निगरानी कार्यक्रमों, या नए रिपोर्टों की ओर प्रोटोकॉल के बदलाव पर ध्यान दें जो स्पष्ट रूप से पुराने को प्रतिस्थापित करते हैं। ताल एक संकेत है, प्रेस विज्ञप्ति नहीं।

तीसरा, प्रमुख सुरक्षा कंपनियों से 2026 के नुकसान के कुल आंकड़ों पर अपडेट पर नज़र रखें, $1.32 बिलियन H1 आंकड़े से परे, और यह कि "पुरानी कोडबेस" शोषण घटनाओं के हिस्से के रूप में बढ़ रहा है या नहीं।

अंत में, AI-सहायता प्राप्त कमजोरियों की खोजों के खुलासे पर ध्यान दें और क्या पैच पारिस्थितिकी तंत्र-व्यापी सुधार मार्गदर्शन के साथ आते हैं। स्पिलओवर जोखिम अक्सर फोर्क्स, एकीकरण, और कॉपी-पेस्ट किए गए कोड में होता है।

विरासत कॉन्ट्रैक्ट जोखिम अब एक स्थायी बाजार चर है

मैं इसे एक बाजार-संरचना समस्या के रूप में मानता हूँ जो एक सुरक्षा कहानी के रूप में छिपी हुई है। यदि AI ऑडिट विंडो को संकुचित करता है, तो "ऑडिटेड" एक क्षीण होती हुई स्थिति बन जाती है।संपत्ति, और प्रीमियम उन प्रोटोकॉल की ओर स्थानांतरित होता है जो निरंतर समीक्षा और तेज पैच चक्रों को प्रदर्शित कर सकते हैं।

महत्वपूर्ण सीमा यह है कि क्या विरासत-समझौता शोषण एपिसोडिक रहते हैं या एक स्थिर धुन बन जाते हैं जो तरलता को स्थायी पूंछ जोखिम में मूल्यांकन करने के लिए मजबूर करता है। यदि पुनरावर्ती पुनःलेखन मानक संचालन बन जाते हैं और हानि के कुल पुराने कोडबेस द्वारा हावी होना बंद कर देते हैं, तो सेटअप संरचनात्मक लगने लगता है न कि कथा-प्रेरित, और तब शोषण जोखिम लगातार तरलता को प्रभावित करने लगता है, केवल सुर्खियों को नहीं।

स्रोत