Web3 protokollerinin karmaşıklığı arttıkça, varlık güvenliği odaklı tasarlanan Move dili, kamuya açık veri ve araştırmaların kıtlığı nedeniyle denetim zorluğunu artırıyor. Bu nedenle, BitsLab, uzmanların planladığı alan verilerini temel alan, RAG (retrieve-augment-generate), çok seviyeli otomatik inceleme ve belirli bir statik analiz üzerine çalışan özel AI akıllı varlık kümelerini bir araya getiren çok katmanlı bir AI güvenlik aracı seti olan "BitsLabAI"yi geliştirdi. Denetim için derin otomatik destek sağlıyor.
Bluefin sürekli sözleşme DEX'in kamu denetiminde, BitsLab AI toplamda dört sorun tespit etti, bunlar arasında bir yüksek riskli mantık hatası da bulunuyor; Bluefin ekibi bu doğrultuda düzeltmeleri tamamladı.
Bu anda neden AI'ye ihtiyaç var: Zincir üzerindeki güvenlik paradigmasının geçişi
Blok zinciri güvenliği ve dijital varlık koruma paradigması köklü bir dönüşüm geçiriyor. Temel modeldeki büyük ilerlemelerle, günümüzdeki büyük dil modelleri (LLM'ler) ve AI ajanları, başlangıç düzeyinde fakat güçlü bir zeka biçimine sahip. Belirli bir bağlam tanımlandığında, bu modeller akıllı sözleşme kodunu otonom bir şekilde analiz edebilir ve potansiyel zayıflıkları tespit edebilir. Bu, AI destekli araçların hızlı bir şekilde benimsenmesini sağladı; örneğin, diyalog kullanıcı arayüzleri (UI'lar) ve entegre ajanların IDE'leri, akıllı sözleşme denetçileri ve Web3 güvenlik araştırmacılarının standart iş akışlarının bir parçası haline gelmektedir.
Ancak, bu ilk dalga AI entegrasyonu umutlar getirmiş olsa da, hala yüksek riskli blockchain ortamlarının gerektirdiği güvenilirliği karşılamada kritik sınırlamalara tabidir:
Yüzeysel ve insan bağımlı denetim: Mevcut araçlar "yardımcı pilot" rolünü üstleniyor, bağımsız denetçi değil. Karmaşık protokollerin genel yapısını anlama yetenekleri yoktur ve sürekli insan rehberliğine bağımlıdırlar. Bu, birbirine bağlı akıllı sözleşmelerin güvenliğini sağlamak için gereken derin otomatik analizleri gerçekleştirmelerini engelliyor.
Hayal gücünden kaynaklanan yüksek gürültü sinyalleri: Genel LLM'nin çıkarım süreçleri "hayal gücü" ile rahatsız edilmektedir. Güvenli senaryolarda, bu, çok sayıda yanlış alarm ve gereksiz uyarı üretilmesi anlamına gelir; bu da denetçilerin, gerçek ve potansiyel olarak yıkıcı sonuçlar doğurabilecek zincir üzerindeki tehditleri düzeltmek yerine, kurgusal açıkları çürütmek için değerli zaman harcamalarına neden olur.
Belirli alanlardaki dil anlayışı eksikliği: LLM'nin performansı doğrudan eğitim verilerine bağlıdır. Move gibi varlık güvenliği için özel olarak tasarlanmış bir dil için, karmaşık kod kütüphanesi ve belgelenmiş açık kaynakların kıtlığı nedeniyle, Move'un benzersiz güvenlik modelini, kaynak mülkiyeti ve bellek yönetimi ilkeleri gibi temel unsurlarıyla yüzeysel bir şekilde anlamaktadır.
BitsLab'ın AI güvenlik çerçevesi (ölçeklenebilir güvenilirlik için)
Genel AI'nın kritik eksikliklerini göz önünde bulundurarak, oluşturduğumuz çerçeve çok katmanlı, güvenlik öncelikli bir mimari benimsemektedir. Bu, tek bir model değil, her bir bileşenin akıllı sözleşme denetimindeki belirli zorlukları çözmek için tasarlandığı entegre bir sistemdir; veri bütünlüğünden derin otomatik analize kadar.
Temel katman: Uzmanlar tarafından planlanan alana özel veri seti
Herhangi bir AI'nın tahmin yeteneği verilerine dayanır. Çerçevemizin olağanüstü performansı, genel LLM'leri eğitmek için kullanılan genel veri setlerinden köklü bir şekilde farklı olan benzersiz bilgi havuzumuzdan başlamaktadır. Avantajlarımız şunlardadır:
Özel alanlarda büyük ölçekli kapsama: DeFi kredi verme, NFT pazarı ve Move tabanlı protokoller gibi yüksek riskli alanlara odaklanan büyük ve uzmanlaşmış veri setlerine sahibiz, bu veri setleri titizlikle toplanmıştır. Bu, belirli alanlardaki açığı benzersiz bir bağlam derinliği ile sağlamaktadır.
Uzman Planlama ve Temizlik: Veri setimiz sadece toplanmış değil, aynı zamanda akıllı sözleşme güvenlik uzmanları tarafından sürekli olarak temizlenmekte, doğrulanmakta ve zenginleştirilmektedir. Bu süreç, bilinen güvenlik açıklarının etiketlenmesi, güvenli kodlama modellerinin işaretlenmesi ve alakasız gürültünün filtrelenmesini içermekte, böylece modelin öğrenmesi için yüksek doğrulukta "gerçek bir temel" yaratılmaktadır. Bu insan-makine işbirliği ile yapılan planlama, AI'ımızın en yüksek kalitedeki verilerden öğrenmesini sağlamakta ve böylece doğruluğunu önemli ölçüde artırmaktadır.
Doğruluk: RAG ve çok katmanlı inceleme ile yanılsamaları ortadan kaldırmak
Bu temel sorunu çözmek için, AI'nin çıkarımlarının her zaman doğrulanabilir gerçeklere dayanmasını sağlayan karmaşık bir çift sistem uyguladık:
Arama Geliştirilmiş Üretim (RAG): AI'mız yalnızca kendi iç bilgisine dayanmaz, aynı zamanda sonuçlar çıkarmadan önce sürekli olarak gerçek zamanlı bilgi havuzunu sorgular. Bu RAG sistemi, en güncel güvenlik açıkları araştırmalarını, belirlenmiş güvenlik en iyi uygulamalarını (örneğin, SWC kaydı, EIP standartları) ve benzer şekilde başarılı bir şekilde denetlenmiş protokollerin kod örneklerini araştırır. Bu durum, AI'nın "kaynaklarını belirtmesini" zorunlu kılarak, sonuçlarının mevcut gerçeklere dayandığından emin olmasını sağlar, olasılıksal tahminlerden ziyade.
Çok katmanlı inceleme modeli: Üretken AI tarafından tanımlanan her bir potansiyel sorun, sıkı bir iç doğrulama sürecinden geçecektir. Bu süreç, bir dizi özelleşmiş modelden oluşan otomatik inceleme mekanizmasını içermektedir: çapraz referans modeli, bulguları RAG verisi ile karşılaştırırken, ince ayar yapılmış "denetçi" modeli teknik geçerliliğini değerlendirecek ve son olarak "öncelik" modeli potansiyel iş etkisini belirleyecektir. Bu süreç sayesinde, düşük güven düzeyine sahip sonuçlar ve yanılsamalar insan denetçiye ulaşmadan sistematik olarak filtrelenmiş olacaktır.
Derinlik: Statik analiz ve AI Agent iş birliği ile derin otomasyon sağlamak
Basit bir "copilot" aracının ötesinde derinlik ve bağlam farkındalığına sahip otomasyon sağlamak için, belirsiz analizi ve akıllı ajanları birleştiren bir işbirliği yöntemi benimsedik:
Statik analiz temel olarak: Sürecimiz, önce kapsamlı bir statik analiz taraması yaparak tüm protokolü kesin bir şekilde haritalamakla başlar. Bu, tam bir kontrol akış grafiği oluşturur, tüm durum değişkenlerini tanımlar ve tüm sözleşmeler arasındaki fonksiyon bağımlılıklarını takip eder. Bu haritalama, AI'mıza temel, nesnel bir "dünya görüşü" sağlar.
Bağlam Yönetimi: Çerçeve, protokolün zengin ve bütünsel bağlamını sürdürmektedir. Sadece tek bir işlevi anlamakla kalmaz, aynı zamanda bunların nasıl etkileşimde bulunduğunu da anlar. Bu temel yetenek, durum değişikliklerinin zincirleme etkilerini analiz etmesine ve karmaşık çapraz sözleşme etkileşim açıklarını tanımlamasına olanak tanır.
AI Ajan İşbirliği: Belirli görevler için eğitilmiş özel bir grup AI ajanı dağıttık. "Erişim Kontrol Ajanı" özel olarak yetki artırma açıklarını arar; "Yeniden Giriş Ajanı" güvensiz dış çağrıları tespit etmeye odaklanır; "Aritmetik Mantık Ajanı" ise tüm matematiksel işlemleri dikkatlice inceleyerek taşma veya hassasiyet hataları gibi sınır durumlarını yakalar. Bu ajanlar, paylaşılan bağlam haritaları temelinde işbirliği yaparak, tek bir, tekil AI'nın gözden kaçırabileceği karmaşık saldırı yöntemlerini keşfetme yeteneğine sahiptir.
Bu güçlü kombinasyon, çerçevemizin derin yapısal hataları otomatik olarak keşfetmesini sağlar ve gerçekten de özerk bir güvenlik ortağı olarak işlev görür.
Vaka Çalışması: Bluefin PerpDEX'teki Ana Mantıksal Hataları Ortaya Çıkarmak
Gerçek senaryolarla çerçevemizin çok katmanlı mimarisini doğrulamak için, bunu Bluefin'in halka açık güvenlik denetimine uyguladık. Bluefin, karmaşık bir sürekli sözleşme merkeziyetsiz borsa. Bu denetim, geleneksel araçların tanımlayamadığı açıkları nasıl statik analiz, özel AI ajanları ve RAG tabanlı gerçek kontrol ile bulduğumuzu göstermektedir.
Analiz Süreci: Çoklu Ajan Sisteminin İşleyişi
Bu yüksek riskli açığın keşfi tek bir olay değildir, aksine çerçeve içindeki çeşitli entegre bileşenlerin sistematik işbirliği ile gerçekleştirilmiştir:
Bağlam Haritalama ve Statik Analiz
Süreç, öncelikle Bluefin'in tam kod kütüphanesini girdi olarak alır. Statik analiz motorumuz, protokolü belirleyici bir şekilde haritalandırdı ve temel analiz AI ajanıyla birlikte projeye genel bir bakış sağladı, temel finansal mantıkla ilgili modülleri belirledi.
Özelleşmiş aracının dağıtımı
İlk analizlere dayanarak, sistem otomatik olarak bir dizi özel aşamalı ajan dağıttı. Her AI ajanının kendine özgü denetim ipuçları ve vektör veritabanı vardır. Bu örnekte, mantıksal doğruluk ve sınır durumu açıklarını (örneğin taşma, alt taşma ve karşılaştırma hataları) hedefleyen ajan, bu sorunu tespit etti.
RAG tabanlı analiz ve inceleme
Aritmetik Mantık Ajanı (Arithmetic Logic Agent) analiz yapmaya başladı. Gelişmiş bilgi arama (RAG) sayesinde, uzmanlarımız tarafından hazırlanmış bilgi havuzunu sorguladı, Move dilindeki en iyi uygulamaları referans aldı ve Bluefin'in kodunu diğer finansal protokollerde belgelenmiş benzer mantık hataları ile karşılaştırdı. Bu arama süreci, pozitif ve negatif sayılar arasındaki karşılaştırmanın tipik bir sınır hatası vakası olduğunu vurguladı.
Keşfedildi: Temel finansal mantıktaki yüksek riskli açıklar
Çerçevemiz aracılığıyla, protokol finansal hesaplama motorunda yerleşik yüksek riskli bir mantık açığı da dahil olmak üzere dört farklı sorunu nihayetinde tanımladık.
Hata, signed_number modülündeki lt (küçüktür) fonksiyonunda ortaya çıkmıştır. Bu fonksiyon, pozisyon sıralaması veya kâr/zarar (PNL) hesaplaması gibi herhangi bir finansal karşılaştırma için hayati öneme sahiptir. Hata, ciddi mali farklılıklara, yanlış tasfiyelere ve DEX temel işlemlerindeki adil sıralama mekanizmasının başarısız olmasına yol açabilir ve doğrudan protokolün bütünlüğünü tehdit edebilir.
Sorunun kaynağı, negatif ve pozitif sayıların karşılaştırılması sırasında yanlış bir mantığın ortaya çıkmasıdır. signed_number modülü, sayıyı temsil etmek için value: u64 ve sign: bool (true pozitif, false negatif anlamına gelir) kullanır. Ancak lt fonksiyonu, farklı işaretli sayıların karşılaştırılmasını işleyen else dalında bir hataya sahiptir. Bir negatif sayı (!a.sign) ile bir pozitif sayı (b.sign) karşılaştırıldığında, bu fonksiyon yanlış bir şekilde a.sign (yani false) döndürür ve gerçekte "pozitif sayı negatiften küçüktür" iddiasında bulunur.
Düzeltme önlemleri:
Bu kritik sorunu düzeltmek için, lt fonksiyonunun else dalında basit ama son derece önemli bir değişiklik yapılması gerekiyor. Düzeltme sonrası uygulama, karşılaştırma sırasında negatif sayıların her zaman pozitif sayılardan daha küçük olarak doğru bir şekilde değerlendirilmesini sağlamak için !a.sign döndürmelidir.
Onarmak
Sonuç: Bluefin geliştirme ekibi bu ayrıntılı raporu aldıktan sonra derhal bilgilendirildi ve sorunu düzeltmek için hemen önlemler aldı.
BitsLab AI'nin Web3 ekipleri için önemi
Daha az yanlış alarm gürültüsü: RAG + çok aşamalı kontrol, "halüsinasyonları" ve yanlış pozitifleri önemli ölçüde azaltır.
Daha derin kapsama alanı: Statik analiz haritası + Akıllı varlık iş birliği, çapraz sözleşmeler, sınır koşulları ve mantıksal düzeydeki sistematik riskleri yakalar.
İş odaklı öncelikler: Etki derecelendirmesi ile mühendislik yatırımlarını yönlendirmek, zamanı "en kritik sorunlar" üzerinde harcamak.
Sonuç: BitsLab AI destekli güvenlik yeni bir temel haline geliyor.
Bluefin'in uygulamaları, BitsLab'ın temel argümanını doğruladı: Güvenilir Web3 güvenliği, aynı anda "belgeye dayalı" (RAG), "katmanlı kontrol" (çok katmanlı doğrulama) ve "yapısal derinlikte" (statik analiz + akıllı varlık işbirliği) olmalıdır.
Bu yol, merkeziyetsiz finansın temel mantığını anlamak ve doğrulamak açısından son derece kritik olup, protokolün ölçeklenebilir güvenini sağlamanın gerekli bir koşuludur.
Hızla gelişen Web3 ortamında, sözleşme karmaşıklığı sürekli artmaktadır; ancak Move'un kamuya açık araştırmaları ve verileri hala nispeten kıttır, bu da "güvenlik garantisi"ni daha da zor hale getirmektedir. BitsLab'ın BitsLab AI'si bu nedenle ortaya çıkmıştır - uzmanlar tarafından tasarlanan alan bilgisi, doğrulanabilir araştırma destekli akıl yürütme ve küresel bağlama yönelik otomatik analiz ile uçtan uca Move sözleşmesi risklerini tanımlayıp hafifletmek, Web3 güvenliğine sürdürülebilir bir zeka gücü kazandırmaktadır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
BitsLab'ın AI aracı, Bluefin'in yüksek riskli güvenlik açıklarını keşfetti ve düzeltmeye yardımcı oldu.
Yazar: BitsLab
Web3 protokollerinin karmaşıklığı arttıkça, varlık güvenliği odaklı tasarlanan Move dili, kamuya açık veri ve araştırmaların kıtlığı nedeniyle denetim zorluğunu artırıyor. Bu nedenle, BitsLab, uzmanların planladığı alan verilerini temel alan, RAG (retrieve-augment-generate), çok seviyeli otomatik inceleme ve belirli bir statik analiz üzerine çalışan özel AI akıllı varlık kümelerini bir araya getiren çok katmanlı bir AI güvenlik aracı seti olan "BitsLabAI"yi geliştirdi. Denetim için derin otomatik destek sağlıyor.
Bluefin sürekli sözleşme DEX'in kamu denetiminde, BitsLab AI toplamda dört sorun tespit etti, bunlar arasında bir yüksek riskli mantık hatası da bulunuyor; Bluefin ekibi bu doğrultuda düzeltmeleri tamamladı.
Blok zinciri güvenliği ve dijital varlık koruma paradigması köklü bir dönüşüm geçiriyor. Temel modeldeki büyük ilerlemelerle, günümüzdeki büyük dil modelleri (LLM'ler) ve AI ajanları, başlangıç düzeyinde fakat güçlü bir zeka biçimine sahip. Belirli bir bağlam tanımlandığında, bu modeller akıllı sözleşme kodunu otonom bir şekilde analiz edebilir ve potansiyel zayıflıkları tespit edebilir. Bu, AI destekli araçların hızlı bir şekilde benimsenmesini sağladı; örneğin, diyalog kullanıcı arayüzleri (UI'lar) ve entegre ajanların IDE'leri, akıllı sözleşme denetçileri ve Web3 güvenlik araştırmacılarının standart iş akışlarının bir parçası haline gelmektedir.
Ancak, bu ilk dalga AI entegrasyonu umutlar getirmiş olsa da, hala yüksek riskli blockchain ortamlarının gerektirdiği güvenilirliği karşılamada kritik sınırlamalara tabidir:
Yüzeysel ve insan bağımlı denetim: Mevcut araçlar "yardımcı pilot" rolünü üstleniyor, bağımsız denetçi değil. Karmaşık protokollerin genel yapısını anlama yetenekleri yoktur ve sürekli insan rehberliğine bağımlıdırlar. Bu, birbirine bağlı akıllı sözleşmelerin güvenliğini sağlamak için gereken derin otomatik analizleri gerçekleştirmelerini engelliyor.
Hayal gücünden kaynaklanan yüksek gürültü sinyalleri: Genel LLM'nin çıkarım süreçleri "hayal gücü" ile rahatsız edilmektedir. Güvenli senaryolarda, bu, çok sayıda yanlış alarm ve gereksiz uyarı üretilmesi anlamına gelir; bu da denetçilerin, gerçek ve potansiyel olarak yıkıcı sonuçlar doğurabilecek zincir üzerindeki tehditleri düzeltmek yerine, kurgusal açıkları çürütmek için değerli zaman harcamalarına neden olur.
Belirli alanlardaki dil anlayışı eksikliği: LLM'nin performansı doğrudan eğitim verilerine bağlıdır. Move gibi varlık güvenliği için özel olarak tasarlanmış bir dil için, karmaşık kod kütüphanesi ve belgelenmiş açık kaynakların kıtlığı nedeniyle, Move'un benzersiz güvenlik modelini, kaynak mülkiyeti ve bellek yönetimi ilkeleri gibi temel unsurlarıyla yüzeysel bir şekilde anlamaktadır.
Genel AI'nın kritik eksikliklerini göz önünde bulundurarak, oluşturduğumuz çerçeve çok katmanlı, güvenlik öncelikli bir mimari benimsemektedir. Bu, tek bir model değil, her bir bileşenin akıllı sözleşme denetimindeki belirli zorlukları çözmek için tasarlandığı entegre bir sistemdir; veri bütünlüğünden derin otomatik analize kadar.
Herhangi bir AI'nın tahmin yeteneği verilerine dayanır. Çerçevemizin olağanüstü performansı, genel LLM'leri eğitmek için kullanılan genel veri setlerinden köklü bir şekilde farklı olan benzersiz bilgi havuzumuzdan başlamaktadır. Avantajlarımız şunlardadır:
Özel alanlarda büyük ölçekli kapsama: DeFi kredi verme, NFT pazarı ve Move tabanlı protokoller gibi yüksek riskli alanlara odaklanan büyük ve uzmanlaşmış veri setlerine sahibiz, bu veri setleri titizlikle toplanmıştır. Bu, belirli alanlardaki açığı benzersiz bir bağlam derinliği ile sağlamaktadır.
Uzman Planlama ve Temizlik: Veri setimiz sadece toplanmış değil, aynı zamanda akıllı sözleşme güvenlik uzmanları tarafından sürekli olarak temizlenmekte, doğrulanmakta ve zenginleştirilmektedir. Bu süreç, bilinen güvenlik açıklarının etiketlenmesi, güvenli kodlama modellerinin işaretlenmesi ve alakasız gürültünün filtrelenmesini içermekte, böylece modelin öğrenmesi için yüksek doğrulukta "gerçek bir temel" yaratılmaktadır. Bu insan-makine işbirliği ile yapılan planlama, AI'ımızın en yüksek kalitedeki verilerden öğrenmesini sağlamakta ve böylece doğruluğunu önemli ölçüde artırmaktadır.
Bu temel sorunu çözmek için, AI'nin çıkarımlarının her zaman doğrulanabilir gerçeklere dayanmasını sağlayan karmaşık bir çift sistem uyguladık:
Arama Geliştirilmiş Üretim (RAG): AI'mız yalnızca kendi iç bilgisine dayanmaz, aynı zamanda sonuçlar çıkarmadan önce sürekli olarak gerçek zamanlı bilgi havuzunu sorgular. Bu RAG sistemi, en güncel güvenlik açıkları araştırmalarını, belirlenmiş güvenlik en iyi uygulamalarını (örneğin, SWC kaydı, EIP standartları) ve benzer şekilde başarılı bir şekilde denetlenmiş protokollerin kod örneklerini araştırır. Bu durum, AI'nın "kaynaklarını belirtmesini" zorunlu kılarak, sonuçlarının mevcut gerçeklere dayandığından emin olmasını sağlar, olasılıksal tahminlerden ziyade.
Çok katmanlı inceleme modeli: Üretken AI tarafından tanımlanan her bir potansiyel sorun, sıkı bir iç doğrulama sürecinden geçecektir. Bu süreç, bir dizi özelleşmiş modelden oluşan otomatik inceleme mekanizmasını içermektedir: çapraz referans modeli, bulguları RAG verisi ile karşılaştırırken, ince ayar yapılmış "denetçi" modeli teknik geçerliliğini değerlendirecek ve son olarak "öncelik" modeli potansiyel iş etkisini belirleyecektir. Bu süreç sayesinde, düşük güven düzeyine sahip sonuçlar ve yanılsamalar insan denetçiye ulaşmadan sistematik olarak filtrelenmiş olacaktır.
Basit bir "copilot" aracının ötesinde derinlik ve bağlam farkındalığına sahip otomasyon sağlamak için, belirsiz analizi ve akıllı ajanları birleştiren bir işbirliği yöntemi benimsedik:
Statik analiz temel olarak: Sürecimiz, önce kapsamlı bir statik analiz taraması yaparak tüm protokolü kesin bir şekilde haritalamakla başlar. Bu, tam bir kontrol akış grafiği oluşturur, tüm durum değişkenlerini tanımlar ve tüm sözleşmeler arasındaki fonksiyon bağımlılıklarını takip eder. Bu haritalama, AI'mıza temel, nesnel bir "dünya görüşü" sağlar.
Bağlam Yönetimi: Çerçeve, protokolün zengin ve bütünsel bağlamını sürdürmektedir. Sadece tek bir işlevi anlamakla kalmaz, aynı zamanda bunların nasıl etkileşimde bulunduğunu da anlar. Bu temel yetenek, durum değişikliklerinin zincirleme etkilerini analiz etmesine ve karmaşık çapraz sözleşme etkileşim açıklarını tanımlamasına olanak tanır.
AI Ajan İşbirliği: Belirli görevler için eğitilmiş özel bir grup AI ajanı dağıttık. "Erişim Kontrol Ajanı" özel olarak yetki artırma açıklarını arar; "Yeniden Giriş Ajanı" güvensiz dış çağrıları tespit etmeye odaklanır; "Aritmetik Mantık Ajanı" ise tüm matematiksel işlemleri dikkatlice inceleyerek taşma veya hassasiyet hataları gibi sınır durumlarını yakalar. Bu ajanlar, paylaşılan bağlam haritaları temelinde işbirliği yaparak, tek bir, tekil AI'nın gözden kaçırabileceği karmaşık saldırı yöntemlerini keşfetme yeteneğine sahiptir.
Bu güçlü kombinasyon, çerçevemizin derin yapısal hataları otomatik olarak keşfetmesini sağlar ve gerçekten de özerk bir güvenlik ortağı olarak işlev görür.
Gerçek senaryolarla çerçevemizin çok katmanlı mimarisini doğrulamak için, bunu Bluefin'in halka açık güvenlik denetimine uyguladık. Bluefin, karmaşık bir sürekli sözleşme merkeziyetsiz borsa. Bu denetim, geleneksel araçların tanımlayamadığı açıkları nasıl statik analiz, özel AI ajanları ve RAG tabanlı gerçek kontrol ile bulduğumuzu göstermektedir.
Analiz Süreci: Çoklu Ajan Sisteminin İşleyişi
Bu yüksek riskli açığın keşfi tek bir olay değildir, aksine çerçeve içindeki çeşitli entegre bileşenlerin sistematik işbirliği ile gerçekleştirilmiştir:
Bağlam Haritalama ve Statik Analiz Süreç, öncelikle Bluefin'in tam kod kütüphanesini girdi olarak alır. Statik analiz motorumuz, protokolü belirleyici bir şekilde haritalandırdı ve temel analiz AI ajanıyla birlikte projeye genel bir bakış sağladı, temel finansal mantıkla ilgili modülleri belirledi.
Özelleşmiş aracının dağıtımı İlk analizlere dayanarak, sistem otomatik olarak bir dizi özel aşamalı ajan dağıttı. Her AI ajanının kendine özgü denetim ipuçları ve vektör veritabanı vardır. Bu örnekte, mantıksal doğruluk ve sınır durumu açıklarını (örneğin taşma, alt taşma ve karşılaştırma hataları) hedefleyen ajan, bu sorunu tespit etti.
RAG tabanlı analiz ve inceleme Aritmetik Mantık Ajanı (Arithmetic Logic Agent) analiz yapmaya başladı. Gelişmiş bilgi arama (RAG) sayesinde, uzmanlarımız tarafından hazırlanmış bilgi havuzunu sorguladı, Move dilindeki en iyi uygulamaları referans aldı ve Bluefin'in kodunu diğer finansal protokollerde belgelenmiş benzer mantık hataları ile karşılaştırdı. Bu arama süreci, pozitif ve negatif sayılar arasındaki karşılaştırmanın tipik bir sınır hatası vakası olduğunu vurguladı.
Keşfedildi: Temel finansal mantıktaki yüksek riskli açıklar
Çerçevemiz aracılığıyla, protokol finansal hesaplama motorunda yerleşik yüksek riskli bir mantık açığı da dahil olmak üzere dört farklı sorunu nihayetinde tanımladık.
Hata, signed_number modülündeki lt (küçüktür) fonksiyonunda ortaya çıkmıştır. Bu fonksiyon, pozisyon sıralaması veya kâr/zarar (PNL) hesaplaması gibi herhangi bir finansal karşılaştırma için hayati öneme sahiptir. Hata, ciddi mali farklılıklara, yanlış tasfiyelere ve DEX temel işlemlerindeki adil sıralama mekanizmasının başarısız olmasına yol açabilir ve doğrudan protokolün bütünlüğünü tehdit edebilir.
Sorunun kaynağı, negatif ve pozitif sayıların karşılaştırılması sırasında yanlış bir mantığın ortaya çıkmasıdır. signed_number modülü, sayıyı temsil etmek için value: u64 ve sign: bool (true pozitif, false negatif anlamına gelir) kullanır. Ancak lt fonksiyonu, farklı işaretli sayıların karşılaştırılmasını işleyen else dalında bir hataya sahiptir. Bir negatif sayı (!a.sign) ile bir pozitif sayı (b.sign) karşılaştırıldığında, bu fonksiyon yanlış bir şekilde a.sign (yani false) döndürür ve gerçekte "pozitif sayı negatiften küçüktür" iddiasında bulunur.
Düzeltme önlemleri:
Bu kritik sorunu düzeltmek için, lt fonksiyonunun else dalında basit ama son derece önemli bir değişiklik yapılması gerekiyor. Düzeltme sonrası uygulama, karşılaştırma sırasında negatif sayıların her zaman pozitif sayılardan daha küçük olarak doğru bir şekilde değerlendirilmesini sağlamak için !a.sign döndürmelidir.
Onarmak
Sonuç: Bluefin geliştirme ekibi bu ayrıntılı raporu aldıktan sonra derhal bilgilendirildi ve sorunu düzeltmek için hemen önlemler aldı.
Daha az yanlış alarm gürültüsü: RAG + çok aşamalı kontrol, "halüsinasyonları" ve yanlış pozitifleri önemli ölçüde azaltır.
Daha derin kapsama alanı: Statik analiz haritası + Akıllı varlık iş birliği, çapraz sözleşmeler, sınır koşulları ve mantıksal düzeydeki sistematik riskleri yakalar.
İş odaklı öncelikler: Etki derecelendirmesi ile mühendislik yatırımlarını yönlendirmek, zamanı "en kritik sorunlar" üzerinde harcamak.
Bluefin'in uygulamaları, BitsLab'ın temel argümanını doğruladı: Güvenilir Web3 güvenliği, aynı anda "belgeye dayalı" (RAG), "katmanlı kontrol" (çok katmanlı doğrulama) ve "yapısal derinlikte" (statik analiz + akıllı varlık işbirliği) olmalıdır.
Bu yol, merkeziyetsiz finansın temel mantığını anlamak ve doğrulamak açısından son derece kritik olup, protokolün ölçeklenebilir güvenini sağlamanın gerekli bir koşuludur.
Hızla gelişen Web3 ortamında, sözleşme karmaşıklığı sürekli artmaktadır; ancak Move'un kamuya açık araştırmaları ve verileri hala nispeten kıttır, bu da "güvenlik garantisi"ni daha da zor hale getirmektedir. BitsLab'ın BitsLab AI'si bu nedenle ortaya çıkmıştır - uzmanlar tarafından tasarlanan alan bilgisi, doğrulanabilir araştırma destekli akıl yürütme ve küresel bağlama yönelik otomatik analiz ile uçtan uca Move sözleşmesi risklerini tanımlayıp hafifletmek, Web3 güvenliğine sürdürülebilir bir zeka gücü kazandırmaktadır.