Jedna wiadomość mogła wyłączyć walidator Ethereum. Zagrożenie wykryła AI

Sztuczna inteligencja wykryła podatność, która pozwalała zdalnie doprowadzić do awarii oprogramowania używanego przez walidatorów Ethereum. Jak poinformował zespół Protocol Security działający przy Ethereum Foundation, błąd został już naprawiony i opisany jako CVE-2026-34219. Sukces ma jednak drugą stronę. Agenci AI stworzyli również pokaźną stertę fałszywych alarmów, a odróżnienie ich od prawdziwego zagrożenia wymagało pracy ludzi.

Atakujący nie musiał być walidatorem

Badacze skierowali współpracujące ze sobą modele AI do analizy kodu, od którego zależy działanie Ethereum. Agenci otrzymali do sprawdzenia między innymi oprogramowanie systemowe, rozwiązania kryptograficzne oraz inteligentne kontrakty. Jednym z rezultatów eksperymentu było wykrycie rzeczywistej luki w gossipsub. Jest to element warstwy komunikacyjnej peer-to-peer, za pośrednictwem której węzły Ethereum przekazują sobie informacje.

Podatność była związana z obsługą komunikatów PRUNE, wykorzystywanych przy zarządzaniu połączeniami pomiędzy uczestnikami sieci. Odpowiednio przygotowana wiadomość mogła spowodować przepełnienie liczby, a następnie wywołać błąd zatrzymujący cały proces.

Napastnik nie potrzebował do tego uprawnień walidatora ani dostępu do atakowanego urządzenia. Wystarczyło połączenie z nim jako zwykły uczestnik sieci i przesłanie spreparowanego komunikatu. Awaria pojedynczego walidatora nie oznacza zatrzymania całego Ethereum. Sieć jest przygotowana na to, że część jej uczestników okresowo traci połączenie lub przestaje działać. Właściciel wyłączonego walidatora mógłby jednak tracić część należnych nagród, a przy masowym wykorzystaniu błędu skala zakłóceń byłaby znacznie większa.

Luce nadano ocenę 5,9 w skali CVSS, co oznacza zagrożenie o średnim stopniu istotności. Nie ma informacji, aby została wykorzystana przed przygotowaniem poprawki.

fot. X

AI znalazła błąd, ale nie potrafiła dowieść, że jest prawdziwy

Najciekawszym wynikiem eksperymentu nie jest jednak sama podatność. Ethereum Foundation przyznała, że agenci tworzyli również przekonujące i technicznie brzmiące opisy problemów, które po dokładniejszym sprawdzeniu nie stanowiły żadnego zagrożenia. Część rzekomych błędów pojawiała się wyłącznie w wersjach testowych oprogramowania. Inne wymagały scenariuszy, których nie dało się przeprowadzić w rzeczywistej sieci. Zdarzały się też raporty wyglądające profesjonalnie, ale pozbawione działającego dowodu.

W praktyce wąskim gardłem nie stało się więc znajdowanie podejrzanych fragmentów kodu, lecz ich selekcja. Każde zgłoszenie trzeba było odtworzyć i sprawdzić ręcznie. Bez działającego proof of concept wynik dostarczony przez model pozostawał jedynie hipotezą.

To ważny wniosek dla całego rynku kryptowalut. AI może w krótkim czasie przeanalizować więcej kodu niż tradycyjny zespół audytorów. Jednocześnie potrafi zasypać ekspertów fałszywymi alarmami. Na razie nie zastępuje więc specjalistów od bezpieczeństwa. Daje im po prostu znacznie większy i bardziej chaotyczny stos podejrzanych miejsc do sprawdzenia.

Czytaj więcej w dziale kryptowaluty:

Jak poznać najlepiej kryptowaluty? Oto źródła wiedzy dla każdego początkującego

Jak historycznie zachowywał się Bitcoin w lipcu? Statystyki mówią same za siebie

Jak działa mikser kryptowalut Tornado Cash? Wyjaśniamy