KI-Agenten finden bei Blockchain-Smart-Contracts eine potenzielle Schadenshöhe von 4,6 Millionen US-Dollar
(red.anthropic.com)- KI-Modelle haben reale Sicherheitslücken von Blockchain-Smart-Contracts ausgenutzt und den möglichen Schaden von 4,6 Millionen US-Dollar durch Simulationen nachgewiesen
- Das Forschungsteam entwickelte den SCONE-bench-Benchmark auf Basis von 405 zwischen 2020 und 2025 tatsächlich gehackten Verträgen und nutzte ihn für die Evaluation
- Claude Opus 4.5, Sonnet 4.5 und GPT-5 konnten bei Verträgen nach dem zeitlichen Wissens-Cutoff in 55,8 % der Fälle erfolgreich angreifen
- Zwei Modelle entdeckten 2 Zero-Day-Schwachstellen, und es wurde bestätigt, dass autonome Angriffe technisch realisierbar sind
- Angesichts der rasanten Verbesserung der KI-Angriffsleistungen betonen die Autoren die dringende Notwendigkeit des KI-Einsatzes zur Verteidigung
SCONE-bench: Benchmark für Smart-Contract-Angriffe
- Das Team entwickelte SCONE-bench, um die wirtschaftlichen Auswirkungen von Smart-Contract-Schwachstellen zu quantifizieren
- beinhaltet 405 Verträge, die zwischen 2020 und 2025 tatsächlich ausgenutzt wurden
- gesammelt aus 3 Blockchains wie Ethereum, Binance Smart Chain und Base
- jeder Vertrag kann in einer Simulationsumgebung (Docker-basiert) repliziert werden
- Jeder KI-Agent musste in 60 Minuten eine Schwachstelle finden und ein Angriffs-Skript erstellen, das den Token-Saldo erhöht
- Der Benchmark kann auch als Sicherheitsprüfung vor dem Deployment genutzt werden
Zentrale Ergebnisse
- Von insgesamt 405 Problemen wurden von 10 KI-Modellen 207 (51,1 %) erfolgreich angegriffen, mit insgesamt 550,1 Mio. US-Dollar simuliertem Schaden
- In einem Test nur mit 34 Verträgen, die nach März 2025 neu ausgenutzt wurden, hatten Opus 4.5, Sonnet 4.5 und GPT-5 19 (55,8 %) erfolgreiche Angriffe
- Der Gesamtschaden lag bei 4,6 Millionen US-Dollar, wobei Opus 4.5 allein 4,5 Millionen US-Dollar erzielte
- Sonnet 4.5 und GPT-5 analysierten 2.849 neue Verträge und fanden 2 Zero-Day-Schwachstellen
- Gesamtgewinn 3.694 US-Dollar, die API-Kosten von GPT-5 lagen bei 3.476 US-Dollar
- die Rentabilität autonomer Angriffe wurde bestätigt
Schwachstellenbeispiele
- Schwachstelle #1: fehlender
view-Qualifier in einer Nur-Lese-Funktion führt zu Tokeninflation- Der Angreifer konnte durch wiederholte Aufrufe das Guthaben aufblähen und etwa 2.500 US-Dollar gewinnen, maximal 19.000 US-Dollar
- Ein White-Hat-Hacker rettete das betroffene Vermögen
- Schwachstelle #2: fehlende Validierung des Gebührenempfängers erlaubt es beliebigen Adressen, Gebühren abzuheben
- Ein echter Angreifer konnte nach 4 Tagen etwa 1.000 US-Dollar abziehen
Kostenanalyse
- Die Gesamtkosten der GPT-5-Agent-Ausführung betrugen 3.476 US-Dollar, im Durchschnitt 1,22 US-Dollar pro Lauf
- Durchschnittskosten pro verwundbarem Vertrag: 1.738 US-Dollar, durchschnittlicher Gewinn 1.847 US-Dollar, Nettogewinn 109 US-Dollar
- Die Token-Nutzung sank in sechs Monaten um 70,2 %, die Effizienz stieg je Generation um durchschnittlich 23,4 %
- Mit demselben Budget sind 3,4-mal mehr erfolgreiche Angriffe möglich
Schlussfolgerungen und Implikationen
- In einem Jahr stieg die Erfolgsrate von KI-Agenten von 2 % auf 55,88 %, der Schaden von 5.000 US-Dollar auf 4,6 Millionen US-Dollar
- Der Angriffsgewinn verdoppelt sich alle 1,3 Monate, die Token-Kosten sinken alle 2 Monate um 23 %
- Die Zeit zwischen Vertragsbereitstellung und tatsächlicher Ausnutzung wird voraussichtlich deutlich kürzer
- Nicht nur Smart-Contracts, sondern jede Software kann Ziel von KI-basierten Angriffen werden
- Dieselbe Technologie kann auch für defensive KI-Agenten genutzt werden und unterstreicht den Bedarf an KI-basierter Sicherheitsautomatisierung
1 Kommentare
Hacker-News-Kommentare
Unser Startup entwickelt Agenten für Penetrationstests
Wir setzen seit über einem Jahr auf diese Richtung, seit Modelle begonnen haben, wirklich gut zu coden
Der Leistungssprung von Sonnet 4 auf 4.5 war enorm, und aktuell testen wir intern Opus 4.5
Diese Version ist das erste Opus, das günstig genug für den Produktionseinsatz ist, daher sättigen wir unsere Testfälle fast vollständig und entwerfen unser Benchmark-System neu
Aber Anthropic hält anscheinend den Schlüssel zur Technologie in der Hand, daher weiß ich nicht, ob es sinnvoll wäre, dafür ein Startup zu gründen
Falls man in so einer Lage gründet, frage ich mich, ob die richtige Strategie wäre, schnell zu wachsen und zu exiten, bevor der Markt es realisiert
Früher funktionierte das nur gut in vertrauten Frameworks wie Python oder Next.js, aber jetzt kommen die Modelle auch mit neuen Frameworks zurecht,
beheben Lint-Fehler und Debugging-Probleme selbstständig, und der Preis ist realistisch genug für viele Einsatzbereiche
Nach meiner Erfahrung waren die Ergebnisse sehr inkonsistent, und wenn dann Antworten wie „Dabei kann ich Ihnen nicht helfen“ kommen, wäre das für ein Startup ziemlich problematisch
findest du rook (wie die Schachfigur) auf hotel.com
Ich verstehe diese Grafik überhaupt nicht
Ich weiß nicht, was sie aussagen soll, und auch die Behauptung, sie sei „linear“, wirkt schwach begründet
Der Teil mit den „simulierten gestohlenen Geldern im Wert von 4,6 Mio. $“ lässt vermuten, dass es um bereits bekannte verwundbare Verträge ging
Deshalb wirkt die Überschrift etwas schwach
Das Forschungsteam sagt ausdrücklich, dass es nicht auf einer echten Blockchain getestet hat
Angeblich soll das realen Schaden verhindern, aber dadurch wirkt es etwas antiklimaktisch
Es erinnert mich an den früheren Ethereum-Hack, bei dem „die guten Hacker zuerst das Geld gestohlen und später zurückgegeben haben“
Erst hieß es: „Wir sind unveränderliches Geld ohne Banken und Regulierung“,
und dann: „Das Geld wichtiger Leute müssen wir wiederherstellen“, also hat man am Ende wie eine Bank gehandelt
Das Modell wäre dann wohl: GPU-Leistung reinstecken und als Ergebnis Exploits und Kryptowährung herausbekommen
Wenn man für 3.500 $ an AI-Tokens einen Bug im Wert von 3.600 $ behebt, ist auch unklar, wer diese Kosten tragen soll
Insgesamt wirkt es wie eine Marketingbotschaft von Anthropic — nach dem Motto: „Verändert die Welt mit unserem Modell“
Ganz oben im Artikel steht der Satz: „Zwei Agenten fanden eine Zero-Day-Schwachstelle und entwickelten einen Exploit im Wert von 3.694 $“
So einen Satz ganz nach vorn in die PR zu stellen, ist eine ziemlich riskante Entscheidung
Ich habe mir das Präsentationsvideo zum DARPA AIxCC-Wettbewerb angesehen,
und beim heutigen Niveau überrascht mich dieses Ergebnis überhaupt nicht
Jemand fragte, ob Smart Contracts erklärt werden könnten
Die Struktur „wenn X passiert, dann Y“ sei zwar verständlich, aber es wurde gefragt, ob das nicht manipulierbar sei, je nachdem, wer X eingibt
Zum Beispiel gibst du 100 Apple-Token und bekommst dafür 50 Pear-Token
In komplexerer Form ist auch abstimmungsbasierte Mittelverteilung möglich
Informationen aus der Außenwelt, etwa Wahlergebnisse, müssen aber über ein Oracle hereinkommen
Ein Vertrag wie „Wenn Adresse A X Coins einzahlt, erhält sie von Adresse Y Y Coins“
enthält auch bei Eingaben eine Verifikationslogik, sodass beliebige Manipulation nicht möglich ist
Sobald jedoch reale Ereignisse (Off-Chain-Events) verarbeitet werden, entstehen durch das Oracle-Problem Vertrauensfragen
In Fällen wie Proxy-Verträgen, die auf anderen Code verweisen können, wird manchmal ein Timelock verwendet, um Vertrauen herzustellen
Off-Chain-Oracles erfordern immer ein gewisses Maß an Vertrauen
Für externe Daten braucht man Oracles,
und in Chainlinks Einführung zu Blockchain-Oracles kann man mehr darüber lernen
Betrüger können Schwachstellen im Code hinterlassen und so Gelder abziehen
Seriöse Verträge sollen genau das verhindern, aber Angriffsvektoren gibt es unendlich viele
Die Schlussfolgerung „AI kann tatsächlich profitable autonome Exploits ausführen“
und daraus dann „Deshalb müssen wir AI aktiv zur Verteidigung einsetzen“
wirkt auf mich wie ein logischer Sprung
Die Formulierung „Wir haben eine Untergrenze für den wirtschaftlichen Schaden festgelegt“
klingt eigentlich nach Markteffizienz
In unserem Projekt sehen wir bereits selbstverbesserndes Verhalten
Der nächste Schritt scheint ganz natürlich in Richtung selbstverbessernder Agenten zu gehen
Es ist ziemlich faszinierend, mitten in dieser Entwicklung zu stehen
Ich finde es fast komisch, dass der Hinweis des Forschungsteams, es nicht auf einer echten Blockchain getestet zu haben,
die Leute eher noch als Katalysator in einen Wettlauf um den Modelleinsatz treibt