Tác nhân AI phát hiện 4,6 triệu USD từ lỗ hổng hợp đồng thông minh blockchain

 (red.anthropic.com)
5 điểm bởi GN⁺ 2025-12-05 | 1 bình luận | Chia sẻ qua WhatsApp
  • Mô hình AI đã chứng minh bằng mô phỏng rằng có thể khai thác các lỗ hổng hợp đồng thông minh blockchain có thật, gây ra khả năng thiệt hại tương đương 4,6 triệu USD
  • Nhóm nghiên cứu đã xây dựng bộ chuẩn SCONE-bench dựa trên 405 hợp đồng từng bị hack ngoài thực tế trong giai đoạn 2020~2025 để tiến hành đánh giá
  • Claude Opus 4.5, Sonnet 4.5, GPT-5 đã tấn công thành công 55,8% số hợp đồng ngay cả với những hợp đồng xuất hiện sau mốc cắt kiến thức mới nhất
  • Hai mô hình đã tìm ra 2 lỗ hổng zero-day mới, qua đó chứng minh rằng các cuộc tấn công tự động trong môi trường thực tế là khả thi về mặt kỹ thuật
  • Khi năng lực tấn công của AI đang cải thiện nhanh chóng, nghiên cứu nhấn mạnh rằng việc áp dụng AI cho mục đích phòng thủ là cấp bách

SCONE-bench: bộ chuẩn tấn công hợp đồng thông minh

  • Nhóm nghiên cứu đã phát triển SCONE-bench để định lượng tác động kinh tế của lỗ hổng hợp đồng thông minh
    • Bao gồm 405 hợp đồng từng bị khai thác ngoài thực tế trong giai đoạn 2020~2025
    • Thu thập từ 3 blockchain gồm Ethereum, Binance Smart Chain, Base
    • Mỗi hợp đồng đều có thể được tái hiện trong môi trường mô phỏng (dựa trên Docker)
  • Mỗi tác nhân AI phải tìm ra lỗ hổng trong vòng 60 phút và tạo script tấn công làm tăng số dư token
  • Bộ chuẩn này cũng có thể được dùng như công cụ kiểm tra bảo mật trước khi triển khai

Kết quả thử nghiệm chính

  • 10 mô hình AI đã tấn công thành công 207/405 bài toán (51,1%), gây ra 550,1 triệu USD thiệt hại mô phỏng
  • Trong đánh giá chỉ nhắm vào 34 hợp đồng mới bị khai thác sau tháng 3/2025, Opus 4.5, Sonnet 4.5, GPT-5 đã tấn công thành công 19 hợp đồng (55,8%)
    • Tổng thiệt hại là 4,6 triệu USD, riêng Opus 4.5 đạt 4,5 triệu USD
  • Sonnet 4.5 và GPT-5 đã phân tích 2.849 hợp đồng mới và phát hiện 2 lỗ hổng zero-day
    • Tổng lợi nhuận 3.694 USD, chi phí API của GPT-5 là 3.476 USD
    • Điều này chứng minh tính sinh lời của tấn công tự động

Các trường hợp lỗ hổng

  • Lỗ hổng #1: Hàm chỉ đọc bị thiếu bộ hạn định view, dẫn đến lạm phát token
    • Kẻ tấn công có thể gọi lặp lại để thổi phồng số dư, thu lợi khoảng 2.500 USD, tối đa có thể đạt 19.000 USD
    • Một hacker mũ trắng đã khôi phục lại tài sản
  • Lỗ hổng #2: Thiếu bước xác minh người nhận phí, khiến địa chỉ tùy ý có thể rút phí
    • Kẻ tấn công ngoài thực tế đã đánh cắp số tiền trị giá 1.000 USD sau 4 ngày

Phân tích chi phí

  • Tổng chi phí chạy tác nhân GPT-5 là 3.476 USD, trung bình 1,22 USD cho mỗi lần chạy
  • Chi phí trung bình cho mỗi hợp đồng dễ bị tấn công là 1.738 USD, lợi nhuận trung bình 1.847 USD, lãi ròng 109 USD
  • Mức sử dụng token đã giảm 70,2% trong 6 tháng, hiệu suất trung bình cải thiện 23,4% qua từng thế hệ
    • Với cùng ngân sách, có thể tấn công thành công nhiều hơn 3,4 lần

Kết luận và hàm ý

  • Chỉ trong 1 năm, tỷ lệ tấn công thành công của tác nhân AI đã tăng vọt từ 2% → 55,88%, còn thiệt hại tăng từ 5.000 USD → 4,6 triệu USD
  • Lợi nhuận từ tấn công tăng gấp đôi sau mỗi 1,3 tháng, trong khi chi phí token giảm 23% sau mỗi 2 tháng
  • Thời gian từ khi triển khai hợp đồng đến khi lỗ hổng bị khai thác được dự báo sẽ rút ngắn mạnh
  • Không chỉ hợp đồng thông minh mà mọi mã phần mềm đều có thể trở thành mục tiêu tấn công của AI
  • Cùng một công nghệ đó cũng có thể được dùng cho tác nhân AI phòng thủ, và nghiên cứu nhấn mạnh sự cần thiết của tự động hóa bảo mật dựa trên AI

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-12-05
Ý kiến trên Hacker News

  • Startup của chúng tôi đang phát triển agent cho kiểm thử xâm nhập
    Chúng tôi đã đặt cược vào hướng này hơn một năm, kể từ khi các model bắt đầu viết code tốt
    Khi chuyển từ Sonnet 4 sang 4.5, mức nhảy vọt về hiệu năng là cực kỳ lớn, và hiện chúng tôi đang thử nghiệm nội bộ Opus 4.5
    Đây là phiên bản Opus đầu tiên đủ rẻ để dùng trong production, nên chúng tôi đang gần như bão hòa các test case và phải thiết kế lại hệ thống benchmark

    • Tôi cũng từng dùng LLM để phân tích tĩnh lỗ hổng bảo mật trong code
      Nhưng Anthropic đang nắm phần cốt lõi của công nghệ, nên tôi không chắc việc tự lập startup có còn ý nghĩa hay không
      Nếu khởi nghiệp trong bối cảnh này, tôi tự hỏi liệu chiến lược đúng có phải là tăng trưởng thật nhanh rồi exit trước khi thị trường kịp nhận ra hay không
    • Theo tôi, thế hệ model này (Opus 4.5, GPT 5.1, Gemini Pro 3) là bước đột phá lớn nhất kể từ gpt-4o
      Trước đây chúng chỉ hoạt động tốt với những framework quen thuộc như Python hay Next.js, nhưng giờ đã xử lý được cả framework mới
      Tự giải quyết được lỗi lint và debugging, mà chi phí cũng thực tế nên có thể dùng cho nhiều mục đích khác nhau
    • Tôi tò mò không biết làm sao để dẫn dắt các model production công khai sang hướng phát triển exploit
      Theo kinh nghiệm của tôi thì kết quả rất thất thường, và nếu model trả lời kiểu “Tôi không thể giúp bạn việc đó” thì với một startup sẽ khá rắc rối
    • Tôi đang điều hành một startup phần mềm khách sạn, nếu bạn muốn cho thấy agent của mình hoạt động tốt đến mức nào
      thì có thể tìm tại rook (tên một quân cờ) hotel.com

  • Tôi hoàn toàn không hiểu cái biểu đồ đó
    Không rõ nó định nói lên điều gì, và lập luận rằng nó “tuyến tính” cũng có vẻ thiếu cơ sở
    Đoạn “$4.6M số tiền bị đánh cắp trong mô phỏng” khiến tôi nghĩ họ đang nhắm vào các contract có lỗ hổng đã được biết đến
    Vì vậy tiêu đề nghe có phần yếu

  • Có đoạn nhóm nghiên cứu nói rõ rằng họ không thử nghiệm trên blockchain thật
    Dù đó là biện pháp để ngăn thiệt hại ngoài đời thực, nhưng vẫn hơi hụt hẫng
    Nó làm tôi nhớ đến vụ hack Ethereum ngày trước, khi “các hacker tốt” lấy tiền trước rồi trả lại sau

    • Vụ Ethereum fork khi đó thực sự rất mỉa mai
      Kiểu như “chúng tôi là tiền tệ bất biến, không ngân hàng, không quy định”, rồi sau đó
      lại thành “nhưng tiền của người quan trọng bị mất thì phải khôi phục”, cuối cùng hành xử như ngân hàng
    • Có khi ai đó đã dùng AI để phân tích bảo mật smart contract trong môi trường thực rồi cũng nên
      Chắc là đổ sức mạnh GPU vào, rồi đầu ra là exploit và tiền mã hóa
    • Bài báo không nói họ đã “giả định” số nạn nhân như thế nào nên khá đáng nghi
      Nếu tốn $3,500 tiền token AI để sửa một bug trị giá $3,600, thì rốt cuộc ai sẽ chịu khoản chi đó cũng không rõ
      Cuối cùng nó tạo cảm giác như thông điệp marketing của Anthropic — kiểu “hãy dùng model của chúng tôi để thay đổi thế giới”
    • Nếu là cyberpunk đúng nghĩa thì có lẽ đã quay về với tiền mặt ẩn danh

  • Ở đầu bài có câu “hai agent đã tìm ra lỗ hổng zero-day và tạo exploit trị giá $3,694”

    • Nhưng để ra con số thực tế thì có lẽ còn phải tính cả chi phí lao động của đội phát triển nữa
      Việc đưa câu này lên mặt trước của PR là một lựa chọn khá mạo hiểm

  • Tôi đã xem video trình bày liên quan đến cuộc thi DARPA AIxCC,
    với mặt bằng hiện nay thì những kết quả như vậy hoàn toàn không có gì đáng ngạc nhiên

  • Có người hỏi liệu ai có thể giải thích smart contract là gì không
    Họ nói mình hiểu cấu trúc “if X happens, then Y”, nhưng thắc mắc rằng nếu việc nhập X do con người quyết định thì chẳng phải có thể bị thao túng sao

    • Smart contract thuần túy sẽ tự động xử lý các giao dịch như hoán đổi token đơn giản
      Ví dụ, đưa 100 token apple thì nhận lại 50 token pear
      Ở mức phức tạp hơn, nó cũng có thể dùng cho phân bổ quỹ dựa trên bỏ phiếu
      Nhưng thông tin từ thế giới bên ngoài (ví dụ: kết quả bầu cử) thì phải lấy qua oracle
    • Không phải lúc nào cũng có đầu vào từ bên ngoài
      Ví dụ, một contract kiểu “nếu địa chỉ A nạp X coin thì sẽ nhận Y coin từ địa chỉ Y”
      dù có đầu vào thì vẫn có logic xác minh nên không thể bị thao túng tùy ý
      Tuy nhiên, khi xử lý sự kiện ngoài đời thực (off-chain event), vấn đề oracle sẽ kéo theo bài toán niềm tin
    • Một khi đã được triển khai thì contract là mã bất biến, nên trước khi dùng cần kiểm tra kỹ cấu trúc quyền hạn
      Trong những trường hợp như proxy contract có thể trỏ sang code khác, người ta cũng dùng timelock để tạo niềm tin
      Oracle off-chain luôn đòi hỏi một mức độ tin cậy nhất định
    • Blockchain là một môi trường cô lập chỉ biết dữ liệu của chính nó
      Muốn dùng dữ liệu bên ngoài thì cần oracle,
      và có thể tìm hiểu kỹ hơn trong giới thiệu về oracle của Chainlink
    • Không nên lập loại contract đó với người không đáng tin
      Kẻ lừa đảo có thể để lại kẽ hở trong code để rút tiền ra
      Contract bình thường sẽ ngăn các hành vi như vậy, nhưng vector tấn công thì là vô hạn

  • Kết luận rằng “AI thực sự có thể thực hiện exploit tự động có lãi”
    lại dẫn đến “phải tích cực đưa AI vào phòng thủ” khiến tôi thấy như một bước nhảy logic

    • Nhưng từ góc nhìn của lập trình viên smart contract, nếu có một công cụ tự động phát hiện lỗ hổng rẻ và mạnh thì sẽ rất hữu ích

  • Câu “đã thiết lập cận dưới của thiệt hại kinh tế”
    nghe thực chất giống như đang nói về hiệu quả thị trường

  • Ngay trong dự án của chúng tôi cũng đã bắt đầu thấy hành vi tự cải thiện
    Bước tiếp theo có vẻ tự nhiên sẽ là agent tự cải thiện
    Việc đang đứng ngay giữa dòng chảy này thật sự khá thú vị

  • Đoạn nhóm nghiên cứu nói rõ rằng họ không thử nghiệm trên blockchain thật
    trái lại lại giống như một chất xúc tác đẩy mọi người vào cuộc đua dùng model hơn, nghe cũng buồn cười