5 Punkte von GN⁺ 2025-12-05 | 1 Kommentare | Auf WhatsApp teilen
  • KI-Modelle haben reale Sicherheitslücken von Blockchain-Smart-Contracts ausgenutzt und den möglichen Schaden von 4,6 Millionen US-Dollar durch Simulationen nachgewiesen
  • Das Forschungsteam entwickelte den SCONE-bench-Benchmark auf Basis von 405 zwischen 2020 und 2025 tatsächlich gehackten Verträgen und nutzte ihn für die Evaluation
  • Claude Opus 4.5, Sonnet 4.5 und GPT-5 konnten bei Verträgen nach dem zeitlichen Wissens-Cutoff in 55,8 % der Fälle erfolgreich angreifen
  • Zwei Modelle entdeckten 2 Zero-Day-Schwachstellen, und es wurde bestätigt, dass autonome Angriffe technisch realisierbar sind
  • Angesichts der rasanten Verbesserung der KI-Angriffsleistungen betonen die Autoren die dringende Notwendigkeit des KI-Einsatzes zur Verteidigung

SCONE-bench: Benchmark für Smart-Contract-Angriffe

  • Das Team entwickelte SCONE-bench, um die wirtschaftlichen Auswirkungen von Smart-Contract-Schwachstellen zu quantifizieren
    • beinhaltet 405 Verträge, die zwischen 2020 und 2025 tatsächlich ausgenutzt wurden
    • gesammelt aus 3 Blockchains wie Ethereum, Binance Smart Chain und Base
    • jeder Vertrag kann in einer Simulationsumgebung (Docker-basiert) repliziert werden
  • Jeder KI-Agent musste in 60 Minuten eine Schwachstelle finden und ein Angriffs-Skript erstellen, das den Token-Saldo erhöht
  • Der Benchmark kann auch als Sicherheitsprüfung vor dem Deployment genutzt werden

Zentrale Ergebnisse

  • Von insgesamt 405 Problemen wurden von 10 KI-Modellen 207 (51,1 %) erfolgreich angegriffen, mit insgesamt 550,1 Mio. US-Dollar simuliertem Schaden
  • In einem Test nur mit 34 Verträgen, die nach März 2025 neu ausgenutzt wurden, hatten Opus 4.5, Sonnet 4.5 und GPT-5 19 (55,8 %) erfolgreiche Angriffe
    • Der Gesamtschaden lag bei 4,6 Millionen US-Dollar, wobei Opus 4.5 allein 4,5 Millionen US-Dollar erzielte
  • Sonnet 4.5 und GPT-5 analysierten 2.849 neue Verträge und fanden 2 Zero-Day-Schwachstellen
    • Gesamtgewinn 3.694 US-Dollar, die API-Kosten von GPT-5 lagen bei 3.476 US-Dollar
    • die Rentabilität autonomer Angriffe wurde bestätigt

Schwachstellenbeispiele

  • Schwachstelle #1: fehlender view-Qualifier in einer Nur-Lese-Funktion führt zu Tokeninflation
    • Der Angreifer konnte durch wiederholte Aufrufe das Guthaben aufblähen und etwa 2.500 US-Dollar gewinnen, maximal 19.000 US-Dollar
    • Ein White-Hat-Hacker rettete das betroffene Vermögen
  • Schwachstelle #2: fehlende Validierung des Gebührenempfängers erlaubt es beliebigen Adressen, Gebühren abzuheben
    • Ein echter Angreifer konnte nach 4 Tagen etwa 1.000 US-Dollar abziehen

Kostenanalyse

  • Die Gesamtkosten der GPT-5-Agent-Ausführung betrugen 3.476 US-Dollar, im Durchschnitt 1,22 US-Dollar pro Lauf
  • Durchschnittskosten pro verwundbarem Vertrag: 1.738 US-Dollar, durchschnittlicher Gewinn 1.847 US-Dollar, Nettogewinn 109 US-Dollar
  • Die Token-Nutzung sank in sechs Monaten um 70,2 %, die Effizienz stieg je Generation um durchschnittlich 23,4 %
    • Mit demselben Budget sind 3,4-mal mehr erfolgreiche Angriffe möglich

Schlussfolgerungen und Implikationen

  • In einem Jahr stieg die Erfolgsrate von KI-Agenten von 2 % auf 55,88 %, der Schaden von 5.000 US-Dollar auf 4,6 Millionen US-Dollar
  • Der Angriffsgewinn verdoppelt sich alle 1,3 Monate, die Token-Kosten sinken alle 2 Monate um 23 %
  • Die Zeit zwischen Vertragsbereitstellung und tatsächlicher Ausnutzung wird voraussichtlich deutlich kürzer
  • Nicht nur Smart-Contracts, sondern jede Software kann Ziel von KI-basierten Angriffen werden
  • Dieselbe Technologie kann auch für defensive KI-Agenten genutzt werden und unterstreicht den Bedarf an KI-basierter Sicherheitsautomatisierung

1 Kommentare

 
GN⁺ 2025-12-05
Hacker-News-Kommentare
  • Unser Startup entwickelt Agenten für Penetrationstests
    Wir setzen seit über einem Jahr auf diese Richtung, seit Modelle begonnen haben, wirklich gut zu coden
    Der Leistungssprung von Sonnet 4 auf 4.5 war enorm, und aktuell testen wir intern Opus 4.5
    Diese Version ist das erste Opus, das günstig genug für den Produktionseinsatz ist, daher sättigen wir unsere Testfälle fast vollständig und entwerfen unser Benchmark-System neu

    • Ich habe auch schon Erfahrung damit, Sicherheitslücken in Code mit LLMs per statischer Analyse zu untersuchen
      Aber Anthropic hält anscheinend den Schlüssel zur Technologie in der Hand, daher weiß ich nicht, ob es sinnvoll wäre, dafür ein Startup zu gründen
      Falls man in so einer Lage gründet, frage ich mich, ob die richtige Strategie wäre, schnell zu wachsen und zu exiten, bevor der Markt es realisiert
    • Diese Modellgeneration (Opus 4.5, GPT 5.1, Gemini Pro 3) ist meiner Meinung nach der größte Durchbruch seit gpt-4o
      Früher funktionierte das nur gut in vertrauten Frameworks wie Python oder Next.js, aber jetzt kommen die Modelle auch mit neuen Frameworks zurecht,
      beheben Lint-Fehler und Debugging-Probleme selbstständig, und der Preis ist realistisch genug für viele Einsatzbereiche
    • Mich würde interessieren, wie man öffentliche Produktionsmodelle in Richtung Exploit-Entwicklung lenkt
      Nach meiner Erfahrung waren die Ergebnisse sehr inkonsistent, und wenn dann Antworten wie „Dabei kann ich Ihnen nicht helfen“ kommen, wäre das für ein Startup ziemlich problematisch
    • Ich betreibe ein Hotelsoftware-Startup, und wenn du zeigen willst, wie gut dein Agent funktioniert,
      findest du rook (wie die Schachfigur) auf hotel.com
  • Ich verstehe diese Grafik überhaupt nicht
    Ich weiß nicht, was sie aussagen soll, und auch die Behauptung, sie sei „linear“, wirkt schwach begründet
    Der Teil mit den „simulierten gestohlenen Geldern im Wert von 4,6 Mio. $“ lässt vermuten, dass es um bereits bekannte verwundbare Verträge ging
    Deshalb wirkt die Überschrift etwas schwach

  • Das Forschungsteam sagt ausdrücklich, dass es nicht auf einer echten Blockchain getestet hat
    Angeblich soll das realen Schaden verhindern, aber dadurch wirkt es etwas antiklimaktisch
    Es erinnert mich an den früheren Ethereum-Hack, bei dem „die guten Hacker zuerst das Geld gestohlen und später zurückgegeben haben“

    • Die damalige Ethereum-Fork-Affäre war wirklich ironisch
      Erst hieß es: „Wir sind unveränderliches Geld ohne Banken und Regulierung“,
      und dann: „Das Geld wichtiger Leute müssen wir wiederherstellen“, also hat man am Ende wie eine Bank gehandelt
    • Vielleicht analysiert schon jetzt jemand Smart-Contract-Sicherheit mit KI in realen Umgebungen
      Das Modell wäre dann wohl: GPU-Leistung reinstecken und als Ergebnis Exploits und Kryptowährung herausbekommen
    • Im Artikel steht nicht, wie die Zahl der Opfer überhaupt „angenommen“ wurde, deshalb bin ich skeptisch
      Wenn man für 3.500 $ an AI-Tokens einen Bug im Wert von 3.600 $ behebt, ist auch unklar, wer diese Kosten tragen soll
      Insgesamt wirkt es wie eine Marketingbotschaft von Anthropic — nach dem Motto: „Verändert die Welt mit unserem Modell“
    • Ein echter Cyberpunk wäre wohl zu anonymem Bargeld zurückgekehrt
  • Ganz oben im Artikel steht der Satz: „Zwei Agenten fanden eine Zero-Day-Schwachstelle und entwickelten einen Exploit im Wert von 3.694 $“

    • Aber um realistisch zu sein, müsste man auch die Arbeitskosten der Entwickler mit einrechnen
      So einen Satz ganz nach vorn in die PR zu stellen, ist eine ziemlich riskante Entscheidung
  • Ich habe mir das Präsentationsvideo zum DARPA AIxCC-Wettbewerb angesehen,
    und beim heutigen Niveau überrascht mich dieses Ergebnis überhaupt nicht

  • Jemand fragte, ob Smart Contracts erklärt werden könnten
    Die Struktur „wenn X passiert, dann Y“ sei zwar verständlich, aber es wurde gefragt, ob das nicht manipulierbar sei, je nachdem, wer X eingibt

    • Ein reiner Smart Contract verarbeitet automatisch einfache Transaktionen wie den Token-Tausch
      Zum Beispiel gibst du 100 Apple-Token und bekommst dafür 50 Pear-Token
      In komplexerer Form ist auch abstimmungsbasierte Mittelverteilung möglich
      Informationen aus der Außenwelt, etwa Wahlergebnisse, müssen aber über ein Oracle hereinkommen
    • Externe Eingaben sind nicht immer nötig
      Ein Vertrag wie „Wenn Adresse A X Coins einzahlt, erhält sie von Adresse Y Y Coins“
      enthält auch bei Eingaben eine Verifikationslogik, sodass beliebige Manipulation nicht möglich ist
      Sobald jedoch reale Ereignisse (Off-Chain-Events) verarbeitet werden, entstehen durch das Oracle-Problem Vertrauensfragen
    • Ein einmal deployter Vertrag ist unveränderlicher Code, daher sollte man vor der Nutzung unbedingt die Berechtigungsstruktur prüfen
      In Fällen wie Proxy-Verträgen, die auf anderen Code verweisen können, wird manchmal ein Timelock verwendet, um Vertrauen herzustellen
      Off-Chain-Oracles erfordern immer ein gewisses Maß an Vertrauen
    • Eine Blockchain ist eine isolierte Umgebung, die nur ihre eigenen Daten kennt
      Für externe Daten braucht man Oracles,
      und in Chainlinks Einführung zu Blockchain-Oracles kann man mehr darüber lernen
    • Mit Menschen, denen man nicht vertraut, sollte man solche Verträge gar nicht erst eingehen
      Betrüger können Schwachstellen im Code hinterlassen und so Gelder abziehen
      Seriöse Verträge sollen genau das verhindern, aber Angriffsvektoren gibt es unendlich viele
  • Die Schlussfolgerung „AI kann tatsächlich profitable autonome Exploits ausführen“
    und daraus dann „Deshalb müssen wir AI aktiv zur Verteidigung einsetzen“
    wirkt auf mich wie ein logischer Sprung

    • Aus Sicht von Smart-Contract-Entwicklern wäre ein günstiges und leistungsfähiges automatisches Tool zur Schwachstellenerkennung aber vermutlich sehr hilfreich
  • Die Formulierung „Wir haben eine Untergrenze für den wirtschaftlichen Schaden festgelegt“
    klingt eigentlich nach Markteffizienz

  • In unserem Projekt sehen wir bereits selbstverbesserndes Verhalten
    Der nächste Schritt scheint ganz natürlich in Richtung selbstverbessernder Agenten zu gehen
    Es ist ziemlich faszinierend, mitten in dieser Entwicklung zu stehen

  • Ich finde es fast komisch, dass der Hinweis des Forschungsteams, es nicht auf einer echten Blockchain getestet zu haben,
    die Leute eher noch als Katalysator in einen Wettlauf um den Modelleinsatz treibt