AI 审计员在启动前标记 $2M 智能合约漏洞

一个从未到达主网的漏洞

在一个领先的去中心化借贷协议即将推出的几周前，一个AI审计员标记了一个漏洞，该漏洞本可能允许攻击者悄悄地窃取资金。

这个缺陷设计简单但影响严重。提款功能将用户余额中的微小交易四舍五入为"零"，同时仍从储备中发送代币。通过在自动循环中重复此操作，攻击者可能已经完全耗尽资金池 - 即使余额为零，也能窃取近200万美元的总锁定价值(TVL)。

如果这个漏洞进入主网，后果将会立即显现。提款将失败，借贷将停滞，存款人将发现储备不再与存款匹配。说这些影响会很糟糕简直是轻描淡写。

相反，这个漏洞在部署前就被修补了。这一发现不是来自人类团队，而是来自Sherlock AI，它是现在进入安全流程的自动化系统浪潮的一部分。

智能合约审计通常如何运作

智能合约审计是DeFi发布前的标准仪式。协议雇佣人类工程师逐个功能地审查代码，寻找弱点。这些审计已经阻止了无数漏洞进入生产环境，但它们受到限制：昂贵、耗时，并最终依赖于人类的专注力。

随着协议规模和复杂性的增长（以及数十亿用户存款面临风险），行业被迫寻找新的方法。

AI审计员的登场

AI系统以不同方式处理问题。它们可以持续扫描代码，以机器速度标记数学怪异、逻辑错误和被忽视的边缘情况。它们不会取代人类审查员，但它们增加了一双永不疲倦且可以在每次新提交时运行的眼睛。

这个价值200万美元的借贷漏洞说明了这种模式的价值。看似无害的四舍五入计算在实践中可能是灾难性的。一个AI系统在攻击者有机会之前就标记了它。

Sherlock作为案例研究

Sherlock一直是最早将AI审计操作化的公司之一。其系统对借贷漏洞生成了结构化报告：错误出现在哪里，如何被利用，以及可能的财务后果是什么。

"发现这个问题表明AI审计员已经在改变结果，"Sherlock团队成员说。"它们不再是理论上的了。它们正在发现人类审计可能无法捕捉到的错误。"

虽然Sherlock提供了这个例子，但更广泛的故事是关于一个新类别的到来。就像专业审计公司曾经成为DeFi项目的标准一样，AI审计员正开始在这个过程中开辟自己的位置。

为什么行业应该关注

DeFi已经因漏洞和逻辑缺陷损失了数十亿美元。每一次事件不仅清空钱包，还侵蚀了对整个区块链的信任。AI审计员的承诺不是完美，而是额外的防御 - 一种大规模发现错误并减少有害漏洞漏网可能性的方法。

人类审查和AI监督的结合可能很快成为新常态。这个价值200万美元的发现作为这种转变的首批公开证据之一。

展望未来

这个漏洞从未触及主网，但它可能标志着一个转折点。对于协议来说，AI审计员已经产生了切实的结果，防止了损失，并重塑了团队对发布前安全的思考方式。

这一刻可能不会因漏洞本身而被记住，而是因为它代表的意义：AI审计员作为Web3安全中新类别的出现。

关于Sherlock

Sherlock将自己描述为智能合约的全生命周期安全合作伙伴，结合研究人员、对抗性测试、AI系统和财务覆盖。该公司支持协议从构建到发布和持续更新，将安全视为一个连续过程而非单一事件。上周，Sherlock将Sherlock AI添加到其套件中，引入了自动代码审查，旨在通过持续监控来加强人类审计。

:::tip 这个故事是由Btcwire作为新闻稿在HackerNoon的商业博客计划下发布的。在做出任何财务决定之前，请自行研究。

:::

\ \

\n