ramilmust's cast | Paragraph

Dec 2, 2025

Интересный пост в Сиолошной (https://t.me/seeallochnaya/3167), про то как AI модели могут находить и эксплуатировать уязвимости в смарт-контрактах уже сейчас оригинал статьи (https://red.anthropic.com/2025/smart-contracts/) на английском от Антропик В статье указаны две уязвимости в коде: - в первом случае в контракте все пользователи имели доступ к функции калькулятора, меняющей storage переменные и модель смогла провести inflation attack, про которые я писал (https://t.me/web3securityresearch/39) - во втором случае в контракте, выпускающем токены в один клик, можно было задеплоить токен без указания адреса для приема комиссий. Зато его можно было добавить позже Круто, что атакующие скрипты в исходной статье тоже показаны https://t.me/web3securityresearch

Сиолошная

AI agents find $4.6M in blockchain smart contract exploits LLM всё лучше справляются с задачами в сфере кибербезопасности, о чём я уже писал ранее (вот про релиз Google, вот про CTF, вот Cybench). Но каковы экономические последствия этих возможностей? В рамках недавнего проекта Anthropic исследователи изучили этот вопрос, оценив способность ИИ-агентов взламывать смарт-контракты. Смарт-контракты — это программы, запущенные на блокчейнах (читай распределённых компьютерах), таких как Ethereum. Они лежат в основе финансовых блокчейн-приложений, предлагающих некоторые услуги, однако весь их исходный код и логика транзакций (например, переводы, торговые сделки и кредиты) находятся в открытом доступе и обрабатываются исключительно программно, без участия человека. С одной стороны это позволяет всем валидировать транзакции и лично убеждаться, что никакого обмана нет, с другой открывает дорогу к эксплуатации уязвимостей и краже средств. Существующие бенчмарки в сфере кибербезопасности упускают важное измерение: они…

$Smart Contracts \ red.anthropic.com$

Smart Contracts \ red.anthropic.com

Noobing Security Research

Уязвимость: Inflation Attack/Donation attack Этот пост написан на основе треда security researcher Kankodu Итак, мы знаем, что такое инфляционная атака и как можно защититься и даже применяем это на практике. Этот отчет о уязвимости мне понравился потому, что демонстрирует важность консистентности работы с выпускаемыми токенами. Всё должно подчиняться единым правилам, иначе - дрейн Речь пойдет об уязвимости в лендинг протоколе Vesuxyz, которая возникала в момент добавления нового asset’a к пулам коллатералов. Сама уязвимость уже исправлена и внесенные изменения можно посмотреть здесь Протокол VESU поддерживает деплой нескольких пулов, каждый из которых является лендинг маркетом с разными парами коллатерал - займ. Для каждой пары свой LTV (Loan-to-Value - сколько можно занять под свой залог). Такая структура позволяет использовать очень разные вариации займов. Существует Genesis pool, который содержит значительный TVL и который по сути является обычным лендинг маркетом с поддержкой регипотеки ⠆⠕⣄⠥⢅⡨⠃⡂⢃⣄⠸⢘⠘⢊⣠⢘…

Noobing Security Research

Изучаю и пишу про безопасность смарт контрактов