Автоматизация аудита смарт-контрактов: как ИИ снижает стоимость и время проверки кода

Почему проверки безопасности были дорогими

На протяжении нескольких лет аудит смарт-контрактов оставался процедурой, доступной в основном крупным проектам с серьёзными бюджетами. Комплексные проверки стоили дорого, а их результаты приходилось ждать неделями. Небольшие команды разработчиков — а в криптосфере таких большинство — часто не могли позволить себе профессиональный аудит и запускали код без него, надеясь на Bug Bounty-программы и бдительность сообщества.

Автоматизированные инструменты существовали и раньше. Исследователи использовали так называемые фаззеры — программы, которые подвергают код множеству входных данных и наблюдают за сбоями. Однако, по словам Александра Урбелиса, главного специалиста по информационной безопасности в ENS Labs, прежние инструменты были «просто сложными детерминированными процессами». ИИ-системы работают иначе: они способны интерпретировать задуманные функции кода и сравнивать их с фактическим выполнением. Урбелис описал произошедшее как «изменение степени», которое может привести к изменению качества.

Что нового в подходе на базе ИИ

По данным CoinDesk, ключевое отличие новых систем — в том, что они «работают так же, как человеческий атакующий». Об этом заявил Дэвид Швед, операционный директор компании SVRN и основатель магистерской программы по кибербезопасности в Университете Ешива. По его словам, такие модели итеративно развиваются и делают следующий шаг на основе того, что видят в реальном времени.

Швед полагает, что наибольшее значение имеет не столько само обнаружение уязвимостей, сколько возможность непрерывного мониторинга безопасности. Если раньше проект мог позволить себе один точечный аудит, то теперь постоянная проверка с рекомендациями по исправлению становится финансово реальной. По оценке эксперта, это именно та точка, в которой отраслевые стандарты начнут сдвигаться.

Что это значит для участников рынка

Если проверки безопасности станут дешёвыми и непрерывными, аргумент о том, что «аудит слишком дорог», перестанет быть убедительным. Урбелис полагает, что ИИ в конечном счёте изменит стандарты разработки смарт-контрактов. Его тезис звучит прямо: «Чистый отчёт ИИ будет рассматриваться как отсутствие защиты». Иными словами, если проект не провёл даже автоматическую проверку — это уже повод для вопросов со стороны пользователей и инвесторов.

Пока остаётся неясным, как скоро такие инструменты станут массово доступны — система Mythos была удалена с рынка вскоре после публикации, и причины удаления в источнике не уточняются. Однако направление движения понятно: стоимость входного порога для проверки безопасности кода снижается, и вместе с ней меняются ожидания. Пользователям криптоплатформ и инвесторам имеет смысл обращать внимание на то, какие методы проверки заявляют проекты, в которые они вовлечены, — и насколько эти методы соответствуют новой реальности.