ИИ-аудит выявил критический баг в клиенте Ethereum

логотип эфира, плавящийся на жаре ethereum logo melting in heat 2

Искусственный интеллект компании Octane Security обнаружил серьезную ошибку, влияющую на работоспособность Ethereum-клиента Nethermind. 

1/ Octane’s AI found a high-severity liveness bug in the @Nethermind execution client that could have stopped local block production for 38% of @ethereum mainnet validators.

This bug was patched via the @ethereumfndn bug bounty program, with no exploitation observed. pic.twitter.com/ebdUt31WC8

По данным аудиторов, уязвимость позволяла остановить локальное производство блоков для 38% валидаторов в основной сети. 

Проблема возникла из-за отсутствия проверки равенства длин при валидации транзакций с большими массивами двоичных данных (BLOB) в Nethermind при их включении в пул. 

Потенциальные злоумышленники могли создать некорректную операцию с BLOB-объектами, что привело бы к пропуску слотов с подлинными запросами. 

Проблему выявили во время интеграции обновления Fusaka. Она затрагивала тестнет и мейннет. 

Ошибку уже исправили, углубленный анализ не обнаружил атак с ее использованием. 

«Вот где автоматизированная безопасность проявляет себя во всей красе. Исключительные случаи на стороне клиента сложно анализировать вручную, но их легко проверить после обнаружения [с помощью ИИ]», — обратились представители Octane Security к соучредителю блокчейна Виталику Бутерину.  

В Ethereum Foundation подтвердили высокий уровень опасности, выделив компании максимальное вознаграждение в размере $50 000 в рамках программы обнаружения багов.

Напомним, в феврале OpenAI совместно с Paradigm выпустила бенчмарк для оценки способности ИИ-агентов взламывать смарт-контракты.

Источник: https://forklog.com/news/ai/ii-audit-vyyavil-kriticheskij-bag-v-kliente-ethereum

Наверх