Seiring dengan meningkatnya kompleksitas protokol Web3, bahasa Move yang dirancang untuk keamanan aset semakin sulit diaudit karena kurangnya data dan penelitian publik. Untuk itu, BitsLab membangun serangkaian alat keamanan AI berlapis "BitsLabAI": dengan data yang dirancang oleh ahli sebagai dasar, menggabungkan RAG (Generasi yang Ditingkatkan Pencarian), audit otomatis multi-level, dan kumpulan AI cerdas khusus yang berjalan di atas analisis statis deterministik, untuk memberikan dukungan otomatisasi mendalam bagi audit.
Dalam audit terbuka DEX kontrak berkelanjutan Bluefin, BitsLab AI menemukan empat masalah, termasuk satu cacat logika berisiko tinggi, dan tim Bluefin telah menyelesaikan perbaikan berdasarkan hal tersebut.
1)Mengapa saat ini diperlukan AI: Peralihan paradigma keamanan on-chain
Paradigma keamanan on-chain dan perlindungan aset digital sedang mengalami perubahan mendasar. Dengan kemajuan signifikan dalam model dasar, model bahasa besar (LLM) dan agen AI saat ini memiliki bentuk kecerdasan awal tetapi kuat. Ketika diberikan konteks yang didefinisikan dengan jelas, model-model ini dapat secara mandiri menganalisis kode kontrak pintar untuk mengidentifikasi potensi kerentanan. Ini mendorong adopsi cepat alat bantu AI, seperti antarmuka pengguna (UI) percakapan dan IDE dengan agen terintegrasi, yang secara bertahap menjadi bagian dari alur kerja standar auditor kontrak pintar dan peneliti keamanan Web3.
Namun, meskipun gelombang pertama penggabungan AI ini membawa harapan, ia masih terhambat oleh keterbatasan kunci yang tidak dapat memenuhi keandalan yang diperlukan dalam lingkungan blockchain berisiko tinggi:
Audit yang dangkal dan bergantung pada manusia: Alat saat ini berfungsi sebagai "copilot", bukan auditor mandiri. Mereka kekurangan kemampuan untuk memahami keseluruhan struktur protokol yang kompleks dan bergantung pada bimbingan manusia yang berkelanjutan. Ini membuat mereka tidak dapat melakukan analisis otomatisasi mendalam yang diperlukan untuk memastikan keamanan kontrak pintar yang terhubung.
Sinyal noise tinggi yang disebabkan oleh ilusi: Proses inferensi LLM umum terganggu oleh "ilusi". Dalam skenario keamanan, ini berarti akan ada banyak false positive dan peringatan redundan, memaksa auditor menghabiskan waktu berharga untuk membantah kerentanan yang fiktif, alih-alih memperbaiki ancaman on-chain yang nyata dan mungkin berakibat fatal.
Kurangnya pemahaman bahasa khusus di bidang tertentu: Kinerja LLM secara langsung bergantung pada data pelatihan yang digunakannya. Untuk Move, yang merupakan bahasa khusus yang dirancang untuk keamanan aset, pemahaman terhadap model keamanan unik Move menjadi dangkal akibat kurangnya sumber daya publik yang mencakup kode kompleks dan kerentanan yang telah tercatat, termasuk prinsip kepemilikan sumber daya dan manajemen memori yang menjadi inti.
2)Kerangka Keamanan AI BitsLab (Untuk Keandalan Skala Besar)
Mengingat kekurangan utama dari AI generik, kerangka kerja yang kami bangun mengadopsi arsitektur berlapis dan mengutamakan keamanan. Ini bukanlah model tunggal, melainkan sistem terintegrasi di mana setiap komponen dirancang untuk mengatasi tantangan spesifik dalam audit kontrak pintar, mulai dari integritas data hingga analisis otomatis yang mendalam.
Lapisan Dasar: Kumpulan data khusus bidang yang direncanakan oleh para ahli
Kemampuan prediksi AI mana pun terletak pada datanya. Kinerja unggul kerangka kerja kami dimulai dari basis pengetahuan unik kami, yang secara fundamental berbeda dari kumpulan data umum yang digunakan untuk melatih LLM publik. Keunggulan kami terletak pada:
Cakupan besar di bidang yang tersegmentasi: Kami memiliki kumpulan data yang besar dan terampil, yang dikumpulkan dengan hati-hati, fokus pada bidang berisiko tinggi seperti peminjaman DeFi, pasar NFT, dan protokol berbasis Move. Ini memberikan kedalaman konteks yang tiada tara untuk kerentanan di bidang tertentu.
Perencanaan dan pembersihan oleh para ahli: Kumpulan data kami tidak hanya diambil dari sumber, tetapi juga terus dibersihkan, divalidasi, dan diperkaya oleh ahli keamanan kontrak pintar. Proses ini mencakup penandaan kerentanan yang diketahui, penandaan pola pengkodean yang aman, serta penyaringan noise yang tidak relevan, sehingga menciptakan "dasar nyata" dengan fidelitas tinggi untuk pembelajaran model. Kolaborasi antara manusia dan mesin ini memastikan bahwa AI kami belajar dari data berkualitas tertinggi, sehingga secara signifikan meningkatkan akurasinya.
Akurasi: Menghilangkan ilusi melalui RAG dan pemeriksaan berlapis.
Untuk mengatasi masalah kunci ilusi dan false positive, kami mengimplementasikan sistem ganda yang kompleks, sehingga penalaran AI selalu didasarkan pada fakta yang dapat diverifikasi:
Pencarian yang Ditingkatkan dengan Generasi (RAG): AI kami tidak hanya bergantung pada pengetahuan internalnya, tetapi terus-menerus mengakses basis pengetahuan waktu nyata sebelum membuat kesimpulan. Sistem RAG ini akan mencari penelitian kerentanan terbaru, praktik terbaik keamanan yang telah ditetapkan (misalnya, registri SWC, standar EIP), serta contoh kode dari protokol serupa yang telah berhasil diaudit. Ini memaksa AI untuk "mengutip sumbernya", memastikan bahwa kesimpulannya didasarkan pada fakta yang ada, bukan tebakan probabilistik.
Model Pemeriksaan Multi-Tingkat: Setiap masalah potensial yang diidentifikasi oleh AI generatif akan melewati proses validasi internal yang ketat. Proses ini mencakup mekanisme pemeriksaan otomatis yang terdiri dari serangkaian model yang disesuaikan: model referensi silang akan membandingkan temuan dengan data RAG, model "auditor" yang sudah disesuaikan akan menilai efektivitas teknisnya, dan akhirnya model "prioritas" akan menilai dampak bisnis potensialnya. Melalui proses ini, kesimpulan dengan kepercayaan rendah dan ilusi akan disaring secara sistematis sebelum mencapai auditor manusia.
Kedalaman: Mencapai otomatisasi mendalam melalui analisis statis dan kolaborasi dengan AI Agent
Untuk mencapai otomatisasi yang mendalam dan kontekstual yang melampaui sekadar alat "co-pilot" yang sederhana, kami mengadopsi pendekatan kolaboratif yang menggabungkan analisis deterministik dengan agen cerdas:
Analisis statis sebagai dasar: Proses kami pertama-tama melakukan analisis statis yang komprehensif untuk secara pasti memetakan seluruh protokol. Ini akan menghasilkan grafik aliran kontrol yang lengkap, mengidentifikasi semua variabel status, dan melacak semua ketergantungan fungsi antara kontrak. Pemetaan ini menyediakan kepada AI kami sebuah "pandangan dunia" yang dasar dan objektif.
Manajemen konteks: Kerangka kerja mempertahankan konteks yang kaya dan keseluruhan dari seluruh protokol. Ini tidak hanya memahami fungsi individu, tetapi juga memahami bagaimana mereka saling berinteraksi. Kemampuan kunci ini memungkinkannya untuk menganalisis efek berantai dari perubahan status dan mengidentifikasi kerentanan interaksi lintas kontrak yang kompleks.
Kerjasama AI Agent: Kami telah menerapkan serangkaian agen AI yang terspesialisasi, di mana setiap agen dilatih untuk tugas tertentu. "Agen Kontrol Akses" secara khusus mencari kerentanan peningkatan hak akses; "Agen Re-entrancy" fokus pada deteksi panggilan eksternal yang tidak aman; "Agen Logika Aritmatika" dengan cermat memeriksa semua operasi matematika untuk menangkap kondisi batas seperti overflow atau kesalahan presisi. Agen-agen ini bekerja sama berdasarkan pemetaan konteks yang dibagikan, mampu menemukan serangan kompleks yang terlewatkan oleh AI tunggal dan monolitik.
Kombinasi yang kuat ini memungkinkan kerangka kerja kami untuk secara otomatis menemukan cacat arsitektur yang mendalam, benar-benar berfungsi sebagai mitra keamanan yang mandiri.
3)Studi Kasus: Mengungkap Kekurangan Logika Kunci di Bluefin PerpDEX
Untuk memverifikasi arsitektur multilapis kerangka kerja kami dalam skenario nyata, kami menerapkannya pada audit keamanan publik Bluefin. Bluefin adalah pertukaran terdesentralisasi untuk kontrak berkelanjutan yang kompleks. Audit ini menunjukkan bagaimana kami dapat menemukan kerentanan yang tidak dapat diidentifikasi oleh alat tradisional melalui analisis statis, agen AI khusus, dan verifikasi fakta berbasis RAG.
Proses analisis: Operasi sistem multi-agen
Penemuan kerentanan berisiko tinggi ini bukanlah kejadian tunggal, melainkan hasil kolaborasi sistematis dari berbagai komponen terintegrasi dalam kerangka kerja.
Pemetaan konteks dan analisis statis
Proses pertama-tama memasukkan repositori kode lengkap Bluefin. Mesin analisis statis kami secara deterministik memetakan seluruh protokol dan, bersama dengan agen AI analisis dasar, memberikan gambaran keseluruhan proyek, serta mengidentifikasi modul yang terkait dengan logika keuangan inti.
Penerapan agen khusus
Berdasarkan analisis awal, sistem secara otomatis menerapkan serangkaian agen tahap khusus. Setiap agen AI memiliki petunjuk audit dan basis data vektor masing-masing. Dalam kasus ini, salah satu agen yang fokus pada keakuratan logis dan kerentanan kondisi batas (seperti overflow, underflow, dan kesalahan perbandingan) menemukan masalah tersebut.
Analisis dan verifikasi berbasis RAG
Agen Logika Aritmetika (Arithmetic Logic Agent) mulai melakukan analisis. Dengan bantuan Pencarian yang Ditingkatkan oleh Generasi (RAG), ia mengajukan pertanyaan ke basis pengetahuan yang direncanakan oleh para ahli kami, merujuk pada praktik terbaik dalam bahasa Move, dan membandingkan kode Bluefin dengan cacat logika serupa yang telah dicatat dalam protokol keuangan lainnya. Proses pencarian ini menyoroti bahwa perbandingan bilangan positif dan negatif adalah kasus kesalahan batas yang khas.
Temukan: Kerentanan berbahaya dalam logika keuangan inti
Melalui kerangka kerja kami, kami akhirnya mengidentifikasi empat masalah berbeda, di mana salah satunya adalah kerentanan logika berisiko tinggi yang terintegrasi dalam mesin perhitungan keuangan protokol.
Kerentanan muncul di modul signed_number pada fungsi lt (kurang dari). Fungsi ini sangat penting untuk perbandingan keuangan apa pun, seperti pengurutan posisi atau perhitungan laba/rugi (PNL). Kerentanan ini dapat menyebabkan perbedaan keuangan yang serius, likuidasi yang salah, dan kegagalan mekanisme pengurutan yang adil dalam operasi inti DEX, yang secara langsung mengancam integritas protokol.
Akar masalahnya terletak pada kesalahan logika yang muncul ketika membandingkan angka negatif dengan angka positif. Modul signed_number menggunakan value: u64 dan sign: bool (true menunjukkan angka positif, false menunjukkan angka negatif) untuk merepresentasikan nilai. Namun, fungsi lt memiliki cacat di cabang else-nya (yang menangani perbandingan angka dengan tanda berbeda). Ketika membandingkan angka negatif (!a.sign) dengan angka positif (b.sign), fungsi ini secara keliru mengembalikan a.sign (yaitu false), yang pada kenyataannya menyatakan "angka positif lebih kecil dari angka negatif."
Langkah perbaikan:
Untuk memperbaiki masalah kunci ini, cabang else dari fungsi lt perlu dilakukan modifikasi yang sederhana namun sangat penting. Implementasi yang diperbaiki harus mengembalikan !a.sign untuk memastikan bahwa saat membandingkan, angka negatif selalu dapat dievaluasi dengan benar sebagai lebih kecil dari angka positif.
Perbaikan
Hasil: Tim pengembang Bluefin telah segera diberitahu setelah menerima laporan detail ini dan segera mengambil langkah untuk memperbaiki masalah tersebut.
4)BitsLab AI memiliki arti penting bagi tim Web3
Lebih sedikit kebisingan laporan salah: RAG + multi-level verifikasi secara signifikan mengurangi "ilusi" dan positif palsu.
Cakupan yang lebih dalam: Peta analisis statis + Kolaborasi agen cerdas, menangkap risiko sistemik di tingkat kontrak lintas, kondisi batas, dan logika.
Prioritas yang berorientasi bisnis: Memandu investasi rekayasa berdasarkan tingkat dampak, sehingga waktu dihabiskan pada "masalah yang paling penting".
5)Kesimpulan: Keamanan yang didukung oleh BitsLab AI menjadi dasar baru
Praktik Bluefin telah membuktikan argumen inti BitsLab: Keamanan Web3 yang dapat dipercaya harus "berdasarkan bukti" (RAG), "dilakukan secara bertahap" (multi-level review), dan "mendalam dalam struktur" (analisis statis + kolaborasi agen cerdas).
Rute ini sangat penting dalam memahami dan memverifikasi logika dasar keuangan terdesentralisasi, serta merupakan syarat yang diperlukan untuk menjaga kepercayaan skala protokol.
Dalam lingkungan Web3 yang berkembang pesat, kompleksitas kontrak semakin meningkat; sementara penelitian dan data publik tentang Move masih relatif langka, yang mengakibatkan "jaminan keamanan" menjadi lebih menantang. BitsLab AI dari BitsLab lahir untuk tujuan ini—melalui pengetahuan bidang yang direncanakan oleh para ahli, peningkatan penalaran yang dapat diverifikasi melalui pencarian, serta analisis otomatis yang berfokus pada konteks global, mengenali dan mengurangi risiko kontrak Move dari ujung ke ujung, dan menyuntikkan daya pintar yang berkelanjutan untuk keamanan Web3.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Alat AI dari BitsLab menemukan dan membantu memperbaiki kerentanan risiko tinggi Bluefin
Penulis: BitsLab
Seiring dengan meningkatnya kompleksitas protokol Web3, bahasa Move yang dirancang untuk keamanan aset semakin sulit diaudit karena kurangnya data dan penelitian publik. Untuk itu, BitsLab membangun serangkaian alat keamanan AI berlapis "BitsLabAI": dengan data yang dirancang oleh ahli sebagai dasar, menggabungkan RAG (Generasi yang Ditingkatkan Pencarian), audit otomatis multi-level, dan kumpulan AI cerdas khusus yang berjalan di atas analisis statis deterministik, untuk memberikan dukungan otomatisasi mendalam bagi audit.
Dalam audit terbuka DEX kontrak berkelanjutan Bluefin, BitsLab AI menemukan empat masalah, termasuk satu cacat logika berisiko tinggi, dan tim Bluefin telah menyelesaikan perbaikan berdasarkan hal tersebut.
1)Mengapa saat ini diperlukan AI: Peralihan paradigma keamanan on-chain
Paradigma keamanan on-chain dan perlindungan aset digital sedang mengalami perubahan mendasar. Dengan kemajuan signifikan dalam model dasar, model bahasa besar (LLM) dan agen AI saat ini memiliki bentuk kecerdasan awal tetapi kuat. Ketika diberikan konteks yang didefinisikan dengan jelas, model-model ini dapat secara mandiri menganalisis kode kontrak pintar untuk mengidentifikasi potensi kerentanan. Ini mendorong adopsi cepat alat bantu AI, seperti antarmuka pengguna (UI) percakapan dan IDE dengan agen terintegrasi, yang secara bertahap menjadi bagian dari alur kerja standar auditor kontrak pintar dan peneliti keamanan Web3.
Namun, meskipun gelombang pertama penggabungan AI ini membawa harapan, ia masih terhambat oleh keterbatasan kunci yang tidak dapat memenuhi keandalan yang diperlukan dalam lingkungan blockchain berisiko tinggi:
Audit yang dangkal dan bergantung pada manusia: Alat saat ini berfungsi sebagai "copilot", bukan auditor mandiri. Mereka kekurangan kemampuan untuk memahami keseluruhan struktur protokol yang kompleks dan bergantung pada bimbingan manusia yang berkelanjutan. Ini membuat mereka tidak dapat melakukan analisis otomatisasi mendalam yang diperlukan untuk memastikan keamanan kontrak pintar yang terhubung.
Sinyal noise tinggi yang disebabkan oleh ilusi: Proses inferensi LLM umum terganggu oleh "ilusi". Dalam skenario keamanan, ini berarti akan ada banyak false positive dan peringatan redundan, memaksa auditor menghabiskan waktu berharga untuk membantah kerentanan yang fiktif, alih-alih memperbaiki ancaman on-chain yang nyata dan mungkin berakibat fatal.
Kurangnya pemahaman bahasa khusus di bidang tertentu: Kinerja LLM secara langsung bergantung pada data pelatihan yang digunakannya. Untuk Move, yang merupakan bahasa khusus yang dirancang untuk keamanan aset, pemahaman terhadap model keamanan unik Move menjadi dangkal akibat kurangnya sumber daya publik yang mencakup kode kompleks dan kerentanan yang telah tercatat, termasuk prinsip kepemilikan sumber daya dan manajemen memori yang menjadi inti.
2)Kerangka Keamanan AI BitsLab (Untuk Keandalan Skala Besar)
Mengingat kekurangan utama dari AI generik, kerangka kerja yang kami bangun mengadopsi arsitektur berlapis dan mengutamakan keamanan. Ini bukanlah model tunggal, melainkan sistem terintegrasi di mana setiap komponen dirancang untuk mengatasi tantangan spesifik dalam audit kontrak pintar, mulai dari integritas data hingga analisis otomatis yang mendalam.
Kemampuan prediksi AI mana pun terletak pada datanya. Kinerja unggul kerangka kerja kami dimulai dari basis pengetahuan unik kami, yang secara fundamental berbeda dari kumpulan data umum yang digunakan untuk melatih LLM publik. Keunggulan kami terletak pada:
Cakupan besar di bidang yang tersegmentasi: Kami memiliki kumpulan data yang besar dan terampil, yang dikumpulkan dengan hati-hati, fokus pada bidang berisiko tinggi seperti peminjaman DeFi, pasar NFT, dan protokol berbasis Move. Ini memberikan kedalaman konteks yang tiada tara untuk kerentanan di bidang tertentu.
Perencanaan dan pembersihan oleh para ahli: Kumpulan data kami tidak hanya diambil dari sumber, tetapi juga terus dibersihkan, divalidasi, dan diperkaya oleh ahli keamanan kontrak pintar. Proses ini mencakup penandaan kerentanan yang diketahui, penandaan pola pengkodean yang aman, serta penyaringan noise yang tidak relevan, sehingga menciptakan "dasar nyata" dengan fidelitas tinggi untuk pembelajaran model. Kolaborasi antara manusia dan mesin ini memastikan bahwa AI kami belajar dari data berkualitas tertinggi, sehingga secara signifikan meningkatkan akurasinya.
Untuk mengatasi masalah kunci ilusi dan false positive, kami mengimplementasikan sistem ganda yang kompleks, sehingga penalaran AI selalu didasarkan pada fakta yang dapat diverifikasi:
Pencarian yang Ditingkatkan dengan Generasi (RAG): AI kami tidak hanya bergantung pada pengetahuan internalnya, tetapi terus-menerus mengakses basis pengetahuan waktu nyata sebelum membuat kesimpulan. Sistem RAG ini akan mencari penelitian kerentanan terbaru, praktik terbaik keamanan yang telah ditetapkan (misalnya, registri SWC, standar EIP), serta contoh kode dari protokol serupa yang telah berhasil diaudit. Ini memaksa AI untuk "mengutip sumbernya", memastikan bahwa kesimpulannya didasarkan pada fakta yang ada, bukan tebakan probabilistik.
Model Pemeriksaan Multi-Tingkat: Setiap masalah potensial yang diidentifikasi oleh AI generatif akan melewati proses validasi internal yang ketat. Proses ini mencakup mekanisme pemeriksaan otomatis yang terdiri dari serangkaian model yang disesuaikan: model referensi silang akan membandingkan temuan dengan data RAG, model "auditor" yang sudah disesuaikan akan menilai efektivitas teknisnya, dan akhirnya model "prioritas" akan menilai dampak bisnis potensialnya. Melalui proses ini, kesimpulan dengan kepercayaan rendah dan ilusi akan disaring secara sistematis sebelum mencapai auditor manusia.
Untuk mencapai otomatisasi yang mendalam dan kontekstual yang melampaui sekadar alat "co-pilot" yang sederhana, kami mengadopsi pendekatan kolaboratif yang menggabungkan analisis deterministik dengan agen cerdas:
Analisis statis sebagai dasar: Proses kami pertama-tama melakukan analisis statis yang komprehensif untuk secara pasti memetakan seluruh protokol. Ini akan menghasilkan grafik aliran kontrol yang lengkap, mengidentifikasi semua variabel status, dan melacak semua ketergantungan fungsi antara kontrak. Pemetaan ini menyediakan kepada AI kami sebuah "pandangan dunia" yang dasar dan objektif.
Manajemen konteks: Kerangka kerja mempertahankan konteks yang kaya dan keseluruhan dari seluruh protokol. Ini tidak hanya memahami fungsi individu, tetapi juga memahami bagaimana mereka saling berinteraksi. Kemampuan kunci ini memungkinkannya untuk menganalisis efek berantai dari perubahan status dan mengidentifikasi kerentanan interaksi lintas kontrak yang kompleks.
Kerjasama AI Agent: Kami telah menerapkan serangkaian agen AI yang terspesialisasi, di mana setiap agen dilatih untuk tugas tertentu. "Agen Kontrol Akses" secara khusus mencari kerentanan peningkatan hak akses; "Agen Re-entrancy" fokus pada deteksi panggilan eksternal yang tidak aman; "Agen Logika Aritmatika" dengan cermat memeriksa semua operasi matematika untuk menangkap kondisi batas seperti overflow atau kesalahan presisi. Agen-agen ini bekerja sama berdasarkan pemetaan konteks yang dibagikan, mampu menemukan serangan kompleks yang terlewatkan oleh AI tunggal dan monolitik.
Kombinasi yang kuat ini memungkinkan kerangka kerja kami untuk secara otomatis menemukan cacat arsitektur yang mendalam, benar-benar berfungsi sebagai mitra keamanan yang mandiri.
3)Studi Kasus: Mengungkap Kekurangan Logika Kunci di Bluefin PerpDEX
Untuk memverifikasi arsitektur multilapis kerangka kerja kami dalam skenario nyata, kami menerapkannya pada audit keamanan publik Bluefin. Bluefin adalah pertukaran terdesentralisasi untuk kontrak berkelanjutan yang kompleks. Audit ini menunjukkan bagaimana kami dapat menemukan kerentanan yang tidak dapat diidentifikasi oleh alat tradisional melalui analisis statis, agen AI khusus, dan verifikasi fakta berbasis RAG.
Proses analisis: Operasi sistem multi-agen
Penemuan kerentanan berisiko tinggi ini bukanlah kejadian tunggal, melainkan hasil kolaborasi sistematis dari berbagai komponen terintegrasi dalam kerangka kerja.
Pemetaan konteks dan analisis statis Proses pertama-tama memasukkan repositori kode lengkap Bluefin. Mesin analisis statis kami secara deterministik memetakan seluruh protokol dan, bersama dengan agen AI analisis dasar, memberikan gambaran keseluruhan proyek, serta mengidentifikasi modul yang terkait dengan logika keuangan inti.
Penerapan agen khusus Berdasarkan analisis awal, sistem secara otomatis menerapkan serangkaian agen tahap khusus. Setiap agen AI memiliki petunjuk audit dan basis data vektor masing-masing. Dalam kasus ini, salah satu agen yang fokus pada keakuratan logis dan kerentanan kondisi batas (seperti overflow, underflow, dan kesalahan perbandingan) menemukan masalah tersebut.
Analisis dan verifikasi berbasis RAG Agen Logika Aritmetika (Arithmetic Logic Agent) mulai melakukan analisis. Dengan bantuan Pencarian yang Ditingkatkan oleh Generasi (RAG), ia mengajukan pertanyaan ke basis pengetahuan yang direncanakan oleh para ahli kami, merujuk pada praktik terbaik dalam bahasa Move, dan membandingkan kode Bluefin dengan cacat logika serupa yang telah dicatat dalam protokol keuangan lainnya. Proses pencarian ini menyoroti bahwa perbandingan bilangan positif dan negatif adalah kasus kesalahan batas yang khas.
Temukan: Kerentanan berbahaya dalam logika keuangan inti
Melalui kerangka kerja kami, kami akhirnya mengidentifikasi empat masalah berbeda, di mana salah satunya adalah kerentanan logika berisiko tinggi yang terintegrasi dalam mesin perhitungan keuangan protokol.
Kerentanan muncul di modul signed_number pada fungsi lt (kurang dari). Fungsi ini sangat penting untuk perbandingan keuangan apa pun, seperti pengurutan posisi atau perhitungan laba/rugi (PNL). Kerentanan ini dapat menyebabkan perbedaan keuangan yang serius, likuidasi yang salah, dan kegagalan mekanisme pengurutan yang adil dalam operasi inti DEX, yang secara langsung mengancam integritas protokol.
Akar masalahnya terletak pada kesalahan logika yang muncul ketika membandingkan angka negatif dengan angka positif. Modul signed_number menggunakan value: u64 dan sign: bool (true menunjukkan angka positif, false menunjukkan angka negatif) untuk merepresentasikan nilai. Namun, fungsi lt memiliki cacat di cabang else-nya (yang menangani perbandingan angka dengan tanda berbeda). Ketika membandingkan angka negatif (!a.sign) dengan angka positif (b.sign), fungsi ini secara keliru mengembalikan a.sign (yaitu false), yang pada kenyataannya menyatakan "angka positif lebih kecil dari angka negatif."
Langkah perbaikan:
Untuk memperbaiki masalah kunci ini, cabang else dari fungsi lt perlu dilakukan modifikasi yang sederhana namun sangat penting. Implementasi yang diperbaiki harus mengembalikan !a.sign untuk memastikan bahwa saat membandingkan, angka negatif selalu dapat dievaluasi dengan benar sebagai lebih kecil dari angka positif.
Perbaikan
Hasil: Tim pengembang Bluefin telah segera diberitahu setelah menerima laporan detail ini dan segera mengambil langkah untuk memperbaiki masalah tersebut.
4)BitsLab AI memiliki arti penting bagi tim Web3
Lebih sedikit kebisingan laporan salah: RAG + multi-level verifikasi secara signifikan mengurangi "ilusi" dan positif palsu.
Cakupan yang lebih dalam: Peta analisis statis + Kolaborasi agen cerdas, menangkap risiko sistemik di tingkat kontrak lintas, kondisi batas, dan logika.
Prioritas yang berorientasi bisnis: Memandu investasi rekayasa berdasarkan tingkat dampak, sehingga waktu dihabiskan pada "masalah yang paling penting".
5)Kesimpulan: Keamanan yang didukung oleh BitsLab AI menjadi dasar baru
Praktik Bluefin telah membuktikan argumen inti BitsLab: Keamanan Web3 yang dapat dipercaya harus "berdasarkan bukti" (RAG), "dilakukan secara bertahap" (multi-level review), dan "mendalam dalam struktur" (analisis statis + kolaborasi agen cerdas).
Rute ini sangat penting dalam memahami dan memverifikasi logika dasar keuangan terdesentralisasi, serta merupakan syarat yang diperlukan untuk menjaga kepercayaan skala protokol.
Dalam lingkungan Web3 yang berkembang pesat, kompleksitas kontrak semakin meningkat; sementara penelitian dan data publik tentang Move masih relatif langka, yang mengakibatkan "jaminan keamanan" menjadi lebih menantang. BitsLab AI dari BitsLab lahir untuk tujuan ini—melalui pengetahuan bidang yang direncanakan oleh para ahli, peningkatan penalaran yang dapat diverifikasi melalui pencarian, serta analisis otomatis yang berfokus pada konteks global, mengenali dan mengurangi risiko kontrak Move dari ujung ke ujung, dan menyuntikkan daya pintar yang berkelanjutan untuk keamanan Web3.