Una firma de seguridad cripto utilizó inteligencia artificial para detectar una vulnerabilidad de alta severidad en Nethermind, un cliente de Ethereum usado por casi el 40% de los validadores. La falla, que podría haber interrumpido las operaciones de la red, fue corregida antes de ser explotada. Este desarrollo resalta el rol creciente de la IA en ciberseguridad ante preocupaciones recientes sobre vulnerabilidades en código generado por IA.
Octane Security, descrita como una firma nativa de IA, anunció el miércoles que su herramienta de IA identificó una vulnerabilidad crítica en Nethermind, el software que impulsa la blockchain de Ethereum. Nethermind es utilizado por aproximadamente el 40% de los validadores de Ethereum, y la vulnerabilidad representaba riesgos para la continuidad y disponibilidad de la red si se explotaba. La vulnerabilidad involucraba un posible sabotaje a través de una transacción malformada, que podría llevar a slots perdidos sostenidos para los propositores basados en Nethermind. Los validadores afectados podrían haber enfrentado recompensas de bloques perdidas, penalizaciones por inactividad y una degradación general en el rendimiento de la red. Sin embargo, la vulnerabilidad nunca fue explotada y fue parcheada rápidamente por Nethermind. Giovanni Vignone, fundador y CEO de Octane Security, declaró: «Esta es una de las demostraciones de mayor riesgo hasta ahora de investigación de vulnerabilidades liderada por IA». Agregó que la IA ha acelerado la investigación de vulnerabilidades, permitiendo que las hipótesis de bugs, la verificación de exploits y los informes ocurran 10 veces más rápido, reconfigurando los modelos de amenazas para el código onchain. Este hallazgo sigue de cerca al lanzamiento por Anthropic la semana pasada de una herramienta de IA que escanea bases de código en busca de vulnerabilidades y sugiere parches, lo que impactó en las acciones de ciberseguridad. Preocupaciones anteriores sobre la IA en cripto incluyeron un incidente en Moonwell donde código generado por IA causó una pérdida de 2,7 millones de dólares, a pesar de pasar una auditoría. El historial de Octane incluye una asociación con el investigador seudónimo Guhu durante los preparativos para la actualización Fusaka de Ethereum el año pasado. Presentaron 17 problemas en un concurso de auditoría, con 16 corregidos, nueve considerados graves y seis únicos, obteniendo el cuarto lugar y 70.633 dólares en recompensas. La Ethereum Foundation también otorgó a Octane una recompensa por bug bounty de 50.000 dólares por el problema de Nethermind. Vignone enfatizó: «Si no estás usando IA para encontrar y corregir fallos continuamente, estás compitiendo contra los blackhats que sí lo hacen». Seth Hallem, CEO de Certora, señaló después de Moonwell que es esencial aumentar la inversión en diseño, modelado de amenazas y monitoreo a medida que la codificación con IA prolifera.
