Introducción
Bitslab ha desarrollado un agente de auditoría de IA de vanguardia, BitsLabAI Scanner, diseñado específicamente para analizar y proteger aplicaciones Web3. Recientemente probamos esta tecnología en la competencia pública de auditoría de SuiDex, obteniendo resultados sobresalientes. BitslabAI Scanner, gracias a su escáner impulsado por IA, superó a la mayoría de los auditores en la competencia, ayudando a nuestro equipo a obtener el segundo lugar.
Antecedentes
El ecosistema Web3 está expandiéndose a un ritmo asombroso y los contratos inteligentes se están volviendo cada vez más complejos. Aunque esta innovación es emocionante, también conlleva riesgos de seguridad significativos, especialmente en ecosistemas emergentes como Sui. Auditar contratos inteligentes escritos en Move es una tarea ardua, ya que, en comparación con el mundo EVM, carece de suficientes datos históricos de vulnerabilidades y herramientas maduras.
Para abordar esta brecha crítica de seguridad, Bitslab ha desarrollado un agente de IA de vanguardia, BitsLabAI Scanner, diseñado específicamente para analizar y proteger aplicaciones Web3. Recientemente probamos esta tecnología en la competencia pública de auditoría de SuiDex, obteniendo resultados sobresalientes. BitslaAI Scanner, gracias a su escáner impulsado por IA, superó a la mayoría de los auditores en la competencia, ayudando a nuestro equipo a obtener el segundo lugar. Esto demuestra la poderosa capacidad de BitsLabAI Scanner para descubrir vulnerabilidades de seguridad críticas que podrían pasar desapercibidas sin la ayuda de la IA.
Por qué creamos un BitsLabAI Scanner con enfoque en la seguridad
El mundo de la seguridad on-chain está experimentando una transformación radical impulsada por la IA fundamental. Aunque los modelos de lenguaje grandes (LLMs) de propósito general ya tienen la capacidad de realizar análisis preliminares de código de contratos inteligentes, a menudo carecen del pensamiento especializado y adversarial necesario para una auditoría de seguridad rigurosa. Estos modelos son excelentes asistentes, pero no son auditores.
Para cerrar esta brecha crítica, creamos una arquitectura multicapa enfocada en la seguridad: BitslabAI Scanner. No es un modelo único y monolítico, sino un sistema integrado donde múltiples componentes de IA especializados trabajan en conjunto. Cada componente está diseñado para abordar desafíos específicos en la seguridad de contratos inteligentes:
● Análisis semántico de código: Comprende la intención y lógica del código, yendo más allá de la sintaxis para captar el propósito comercial del contrato.
● Detección de vulnerabilidades: Entrenado con grandes conjuntos de datos de vulnerabilidades conocidas y patrones anti-patrón, abarcando desde ataques de reentrada hasta vectores complejos de manipulación económica.
● Simulación de ataques: Un componente avanzado intenta generar y verificar de manera autónoma posibles rutas de ataque para confirmar si las vulnerabilidades teóricas pueden ser explotadas en la práctica.
Este enfoque integrado permite que la IA descubra defectos lógicos complejos y vectores de ataque ocultos, algo que tanto la IA generalista como la auditoría manual suelen pasar por alto. Al combinar la velocidad y escala de la IA con la precisión de los expertos en seguridad, nuestro marco logra un análisis más profundo y exhaustivo, proporcionando protección proactiva para la nueva generación de aplicaciones Web3.
Del concepto a la práctica: el verdadero poder de BitslabAI Scanner
La capacidad de BitslabAI Scanner radica en superar las limitaciones del análisis estático tradicional. No se limita a verificar si el código contiene una lista de vulnerabilidades conocidas, sino que simula el proceso de pensamiento de un investigador de seguridad de élite. Analiza no solo lo que realmente hace el código, sino también lo que podría verse obligado a hacer. Esto incluye comprender incentivos económicos, posibles casos límite y nuevas técnicas de ataque que requieren pensamiento adversarial para ser identificadas.
Este enfoque profundo y contextual fue la base de nuestro éxito en la auditoría de SuiDex. La IA no solo proporciona una lista de posibles problemas, sino que entrega un conjunto de insights ejecutables priorizados que guían directamente a los expertos en auditoría hacia las vulnerabilidades más críticas. A continuación, se presentan las capacidades clave que respaldaron este análisis, junto con ejemplos concretos de SuiDex:
● Detección automatizada de vulnerabilidades: Escanea contratos en busca de vulnerabilidades comunes y poco comunes, incluyendo reentradas, desbordamientos de enteros, problemas de control de acceso y errores de precisión.
● Comprensión contextual: Analiza la interacción entre diferentes módulos dentro del contrato y llamadas externas, identificando defectos lógicos que pueden surgir bajo dependencias complejas.
● Precisión y exactitud: Minimiza los falsos positivos al máximo, garantizando al mismo tiempo una alta precisión en la identificación de riesgos reales.
● Escalabilidad: Capaz de auditar de manera eficiente grandes bases de código complejas, adecuado para todo tipo de proyectos blockchain.
Enfrentando desafíos: hallazgos clave que superaron a los auditores en la competencia de SuiDex
En el análisis impulsado por IA del protocolo SuiDex, logramos resultados sobresalientes, identificando múltiples vulnerabilidades que podrían poner en peligro la integridad de la plataforma y los fondos de los usuarios. Finalmente, señalamos 7 vulnerabilidades críticas y 3 vulnerabilidades de alto riesgo, demostrando la profundidad del análisis.
Aunque la lista completa permanece confidencial, los siguientes casos representativos son suficientes para demostrar la capacidad de la IA:
1. Hallazgo clave: sistemas matemáticos incompatibles en la aritmética central (SUIDEXCA-122)
● Problema: La biblioteca matemática de punto fijo del protocolo utiliza dos sistemas matemáticos incompatibles. A nivel lógico, se realizan cálculos mediante descomposición binaria (potencias de 2), pero el estándar de precisión del protocolo se basa en el sistema decimal (potencias de 10). Ejecutar operaciones binarias en un marco decimal es como mezclar metros y pies en la misma fórmula sin conversión.
● Impacto: Todas las operaciones de multiplicación y división no triviales producirán resultados impredecibles y erróneos. Esto es una bomba de tiempo que puede estallar en cualquier momento, destruyendo la fiabilidad de todo el AMM, causando diferencias financieras significativas y pérdida de confianza de los usuarios.
Este hallazgo demuestra que la IA puede descubrir defectos matemáticos profundos, no solo vulnerabilidades superficiales de código.
2. Hallazgo clave: bandera lógica incorrecta en el Swap
● Problema: La función clave responsable de ejecutar el intercambio de Token A → Token B llama a una biblioteca interna para calcular la cantidad de entrada requerida, pero pasa un parámetro codificado incorrectamente, haciendo que la biblioteca crea que se está ejecutando el intercambio en la dirección opuesta (Token B → Token A).
● Impacto: Este pequeño error hace que el protocolo calcule incorrectamente la cantidad de entrada para cada transacción, lo que puede provocar precios injustos o fallos directos en las operaciones, dañando gravemente la funcionalidad central del DEX.
Este hallazgo demuestra la capacidad de la IA para analizar el contexto entre funciones. No analiza funciones de forma aislada, sino que rastrea la ruta completa de ejecución para identificar contradicciones lógicas clave.
3. Hallazgo de alto riesgo: vulnerabilidad de emisión infinita de tokens (SUIDEXCA-30)
● Problema: La lógica de cálculo de tiempo para los tokens de recompensa contiene un error sutil, que no limita correctamente el tope de emisión según el plan de 3 años establecido.
● Impacto: El protocolo acuñará nuevos tokens indefinidamente, superando ampliamente el cronograma previsto. Esto destruirá por completo el modelo económico del token del proyecto, provocará inflación, eliminará el valor del token y violará los compromisos con la comunidad.
Este caso demuestra que la IA puede analizar la lógica de negocio y sus consecuencias económicas a largo plazo, protegiendo así la integridad financiera del protocolo.
Nuestro informe detallado fue compartido oportunamente con el equipo de desarrollo de SuiDex, quienes confirmaron estos hallazgos y tomaron medidas inmediatas para corregirlos.
No solo el segundo lugar: el valor y significado detrás de BitslabAI Scanner
El excelente desempeño de BitslabAI Scanner en la competencia de auditoría de SuiDex, obteniendo finalmente el segundo lugar y descubriendo numerosas vulnerabilidades críticas y de alto riesgo, demuestra su capacidad avanzada. Este logro no solo valida la efectividad de BitslabAI Scanner en la auditoría de seguridad de contratos inteligentes, sino que también refuerza nuestro compromiso de construir un futuro de seguridad descentralizada.
A medida que el ecosistema blockchain continúa expandiéndose, la demanda de soluciones de seguridad poderosas y eficientes solo crecerá, y BitslabAI Scanner está preparado para enfrentar este desafío y mirar hacia el futuro.
