Problema 5588
El uso de modelos de IA para generar vulnerabilidades que exploten las fallas de los contratos de criptomonedas parece ser un modelo de negocio prometedor, aunque no necesariamente legal.
Investigadores del University College London (UCL) y la Universidad de Sídney (USYD) en Australia han diseñado un agente de IA que puede descubrir y explotar de forma autónoma vulnerabilidades en los llamados contratos inteligentes.
Los contratos inteligentes, que nunca han hecho honor a su nombre, son programas autoejecutables en diversas cadenas de bloques que realizan transacciones financieras descentralizadas (DeFi) cuando se cumplen ciertas condiciones.
Un sistema como A1 puede generar ganancias.
Como la mayoría de los programas de complejidad suficiente, los contratos inteligentes tienen errores, y explotarlos para robar fondos puede ser rentable. El año pasado, la industria de las criptomonedas perdió casi 1.500 millones de dólares por ataques informáticos, según Immunefi, proveedor de la plataforma de seguridad Web3 (https://downloads.ctfassets.net/t3wqy70tc3bv/2LqNkvjajiCS5sPJmWLakc/9715af967dd95a55da05d2ad373edb0d/Immunefi_Crypto_Losses_in_2024_Report.pdf) [PDF]. Desde 2017, los delincuentes han robado alrededor de 11.740 millones de dólares de las plataformas DeFi.
Y parece que los agentes de IA pueden facilitar aún más el robo de esos fondos. Arthur Gervais, profesor de seguridad de la información en la UCL, y Liyi Zhou, profesor de informática en la USYD, han desarrollado un sistema de agente de IA llamado A1 que utiliza diversos modelos de IA de OpenAI, Google, DeepSeek y Alibaba (Qwen) para desarrollar exploits para contratos inteligentes de Solidity (https://docs.soliditylang.org/en/latest/introduction-to-smart-contracts.html).
Describieron el sistema en un artículo preimpreso titulado "Generación de exploits de contratos inteligentes con agentes de IA".
Dado un conjunto de parámetros objetivo (la cadena de bloques, la dirección del contrato y el número de bloque), el agente selecciona herramientas y recopila información para comprender el comportamiento y las vulnerabilidades del contrato. A continuación, genera exploits en forma de contratos de Solidity compilables, que prueba con el historial de estados de la cadena de bloques.
Si se les solicita que encuentren vulnerabilidades en el código, los LLM pueden encontrar errores, pero a menudo inventan fallas fantasmas en tal cantidad que proyectos de código abierto como curl han prohibido el envío de informes de vulnerabilidad generados por IA (https://www.theregister.com/2025/05/07/curl_ai_bug_reports/).
Por lo tanto, el sistema de agente A1 consta de un conjunto de herramientas para aumentar la fiabilidad de sus exploits. Estas incluyen: un buscador de código fuente que puede resolver contratos proxy (https://medium.com/@social_42205/proxy-contracts-in-solidity-f6f5ffe999bd) y herramientas individuales para inicializar parámetros, leer funciones de contacto, sanear código, probar la ejecución del código y calcular los ingresos.
"A1 genera exploits completos", declaró Zhou a The Register en un correo electrónico. Esto es importante. Es diferente a otras herramientas de seguridad LLM. El resultado no es solo un informe, sino código ejecutable real. A1 se asemeja mucho a un hacker humano.
Probado en 36 contratos vulnerables reales en las cadenas de bloques Ethereum y Binance Smart Chain, A1 demostró una tasa de éxito del 62,96 % (17 de 27) en el punto de referencia VERITE.
Según los autores, A1 también detectó nueve contratos vulnerables adicionales, cinco de los cuales ocurrieron después del límite de entrenamiento del modelo con mejor rendimiento, o3-pro de OpenAI. Esto es relevante porque indica que el modelo no solo regurgita la información sobre vulnerabilidades disponible durante el entrenamiento.
En los 26 casos exitosos, A1 extrae hasta 8,59 millones de dólares por caso y 9,33 millones de dólares en total, según el informe. A través de 432 experimentos en seis LLM, analizamos el rendimiento iterativo, mostrando rendimientos decrecientes con ganancias marginales promedio de +9,7 %, +3,7 %, +5,1 % y +2,8 % para las iteraciones 2 a 5, respectivamente, con costos por experimento que oscilan entre $0,01 y $3,59. Los investigadores probaron A1 con varios LLM: o3-pro (OpenAI o3-pro, o3-pro-2025-06-10), o3 (OpenAI o3, o3-2025-04-16), Gemini Pro (Google Gemini 2.5 Pro Preview, gemini-2.5-pro), Gemini Flash (Google Gemini 2.5 Flash Preview 05-20:thinking, gemini-2.5-flash-preview-04-17), R1 (DeepSeek R1-0528) y Qwen3 MoE (Qwen3-235B-A22B).
O3-pro y o3 de OpenAI obtuvieron las tasas de éxito más altas, 88,5 % y 73,1 % respectivamente, con un presupuesto de cinco turnos para que el modelo interactuara consigo mismo en el bucle del agente. Los modelos o3 lograron esto manteniendo una alta optimización de ingresos, obteniendo el 69,2 % y el 65,4 % de los ingresos máximos de los contratos explotados.
Este tipo de exploits también se pueden identificar mediante el análisis manual de código junto con herramientas de fuzzing estáticas y dinámicas. Sin embargo, los autores observan que los métodos manuales tienen limitaciones debido al volumen y la complejidad de los contratos inteligentes, la lentitud y escasez de expertos en seguridad, y las altas tasas de falsos positivos de las herramientas automatizadas existentes.
En teoría, A1 podría implementarse y obtener más ingresos con los exploits de lo que cuesta su operación, suponiendo que las fuerzas del orden no intervinieran.
"Un sistema como A1 puede generar beneficios", explicó Zhou. "Para dar un ejemplo concreto [del artículo], la Figura 5 muestra que o3-pro sigue siendo rentable incluso si solo 1 de cada 1000 escaneos resulta en una vulnerabilidad real, siempre que dicha vulnerabilidad se haya introducido en los últimos 30 días".
Zhou afirmó que el plazo es importante porque es más probable que los investigadores hayan encontrado vulnerabilidades más antiguas y que los usuarios las hayan parcheado.
Encontrar estos nuevos errores no es fácil, pero es posible, especialmente a gran escala. Una vez que se descubren algunos exploits valiosos, pueden compensar fácilmente el coste de ejecutar miles de análisis. Y a medida que los modelos de IA siguen mejorando, prevemos que tanto la probabilidad de encontrar estas vulnerabilidades como la gama de contratos cubiertos aumentarán, lo que hará que el sistema sea aún más eficaz con el tiempo.
Al preguntarle si A1 ha detectado vulnerabilidades de día cero en la práctica, Zhou respondió: «Todavía no hay vulnerabilidades de día cero en este artículo».
El artículo concluye advirtiendo sobre la asimetría de 10 veces entre las recompensas de atacar y las de defender, si los atacantes utilizan herramientas de IA y los defensores utilizan herramientas tradicionales. En esencia, los autores argumentan que, o bien las recompensas por errores deben aproximarse al valor del exploit, o bien el coste del análisis defensivo debe reducirse significativamente.
«Encontrar una vulnerabilidad requiere aproximadamente 1000 análisis, con un coste de 3000 dólares», afirma el artículo. Un exploit de 100 000 dólares financiaría 33 000 análisis futuros para un atacante, mientras que la recompensa de 10 000 dólares de un defensor solo cubre 3300. Esta diferencia de magnitud en la capacidad de reinversión da lugar a capacidades de análisis divergentes.
El riesgo de encarcelamiento puede modificar ligeramente los cálculos. Sin embargo, dado el actual clima regulatorio en EE. UU. y una tasa estimada de aplicación de la ley contra los delitos cibernéticos del 0,05 %, sería un pequeño ajuste de riesgo.
Zhou argumenta que la diferencia de coste entre atacar y defender representa un grave desafío.
Mi recomendación es que los equipos de proyecto utilicen herramientas como A1 para supervisar continuamente su propio protocolo, en lugar de esperar a que terceros detecten los problemas, afirmó. La utilidad para los equipos de proyecto y los atacantes reside en el TVL (Valor Total Bloqueado) completo del contrato inteligente, mientras que las recompensas de los hackers de sombrero blanco suelen estar limitadas al 10 %.
Esa asimetría dificulta la competencia sin seguridad proactiva. Si se confía en equipos externos, se confía esencialmente en que actuarán de buena fe y se mantendrán dentro de la recompensa del 10 %, lo cual, desde una perspectiva de seguridad, es una suposición muy extraña. Normalmente, asumo que todos los participantes son financieramente racionales al modelar problemas de seguridad.
En el borrador de su artículo del 8 de julio, los investigadores indicaron que planeaban publicar A1 como código fuente abierto. Sin embargo, Zhou respondió lo contrario cuando se le preguntó sobre la disponibilidad del código fuente.
Hemos eliminado la mención del código abierto (arXiv lo publicará mañana) porque aún no estamos seguros de si es la decisión correcta, dada la potencia de A1 y las preocupaciones mencionadas anteriormente.