Ethereum Foundation Manfaatkan AI untuk Mengungkap Bug yang Bisa Membuat Validator Offline
Ringkasan Pasar AI
Insinyur keamanan Ethereum Foundation menggunakan agen AI untuk mengidentifikasi dan menambal bug crash gossipsub (CVE202634219) yang dapat membuat node validator mati dari jarak jauh hingga dilakukan restart. Perbaikan ini mengurangi risiko operasional ekor, tetapi pelajaran yang lebih besar bersifat metodologis: laporan bug yang didorong AI bisa sangat meyakinkan namun keliru, meningkatkan beban peninjauan dan menekankan validasi yang ketat, terutama untuk rangkaian eksploit multi-langkah yang umum dalam serangan DeFi terbaru.
Level dampak
● Rendah
Aset terdampak
ETH/USDT+1.72%
Wawasan AI · ETH/USDTWawasan AI
● Netral
Trade sekarang
⚠️ Wawasan yang dihasilkan AI didasarkan pada konten berita dan disediakan untuk tujuan informasi saja. Wawasan ini bukan nasihat investasi dan tidak mencerminkan pandangan BingX. Investasi melibatkan risiko. Harap trade secara bertanggung jawab.
Pengembang di Ethereum Foundation baru-baru ini menguji penggunaan agen AI untuk mengaudit perangkat lunak yang menjalankan jaringan Ethereum, sebagai bagian dari upaya berkelanjutan memperkuat blockchain terbesar berdasarkan nilai terkunci (TVL). Sejumlah temuan memang muncul, tetapi tim tetap membutuhkan penilaian manusia yang ketat untuk memilah mana kerentanan nyata dan mana yang sekadar false positive. Tim Protocol Security juga menerbitkan catatan lapangan berisi kiat yang bisa diadopsi ekosistem saat memakai AI dalam alur kerja keamanan.
Ethereum beroperasi melalui ribuan node—komputer biasa yang menjalankan perangkat lunak jaringan—yang masing-masing menyimpan salinan rantai dan meneruskan pesan ke node lain. Di atas lapisan ini ada validator, yaitu node yang mempertaruhkan ether dan memberikan suara atas validitas blok. Validator hanya dapat berfungsi jika pesan jaringan berhasil sampai.
Bug yang ditemukan berada pada gossipsub. Cacat tersebut memungkinkan sistem jarak jauh memicu crash, ketika perangkat lunak node menemui perhitungan yang mustahil, berhenti bekerja, lalu mematikan diri. Dampaknya, validator dapat offline sampai operator menyalakan ulang. Masalah ini cepat ditambal dan diungkap sebagai 'CVE202634219', dengan kredit diberikan kepada tim.
Meski begitu, tantangan yang lebih besar justru datang dari proses verifikasi temuan AI. 'Yang mengejutkan adalah betapa kecil porsi pekerjaan untuk menemukan bug, dan betapa besar porsi pekerjaan untuk membedakan bug nyata dari yang hanya terlihat nyata,' tulis Nikos Baxevanis, penulis unggahan tersebut.
Sumber kesulitannya berawal dari keluaran yang dihasilkan agen. Fuzzer—alat standar yang menembakkan data rusak ke perangkat lunak sampai ada yang pecah—biasanya memberikan hasil berupa crash dan catatan lokasi kejadian, yang bisa dikonfirmasi insinyur dalam hitungan menit. Agen AI, sebaliknya, menghasilkan narasi lengkap: menjelaskan bagaimana celah dapat dicapai, menguraikan mengapa penting, mengusulkan tingkat keparahan, serta menyertakan kode bukti konsep yang berfungsi. Semuanya disajikan dalam prosa yang rapi, dan terbaca sama meyakinkannya baik saat bug itu benar ada maupun saat 'diciptakan'.
Menurut Foundation, ada tiga pola false positive yang terus berulang. Pertama, crash yang hanya terjadi pada build pengujian, ketika kompilator mengaktifkan pemeriksaan keselamatan yang tidak ada pada perangkat lunak yang dirilis, sehingga pengguna nyata tidak terdampak. Kedua, serangan yang hanya berhasil bila nilai berbahaya disisipkan secara manual ke dalam program, karena seluruh jalur yang mungkin ditempuh pihak luar untuk mengirimkannya akan menolak nilai itu lebih dulu. Ketiga, temuan dari formal verification—praktik membuktikan secara matematis bahwa kode berperilaku benar—di mana 'bukti' lolos dengan menunjukkan sesuatu yang sepele, tetapi tidak memberi informasi berarti tentang perangkat lunak. Ketiganya pada dasarnya adalah pengujian yang tidak benar-benar menguji apa pun, dan agen mampu menuliskan versi kosong itu secepat dan seyakinkan versi yang benar.
Kekhawatiran lain: agen cenderung kuat menganalisis satu momen, tetapi lemah menangkap bug yang muncul dari rangkaian langkah yang masing-masing valid, di mana masalahnya terletak pada urutan. Pola ini menggambarkan banyak eksploit yang menguras protokol kripto sepanjang tahun ini: teknik-tekniknya terlihat normal jika dilihat satu per satu, namun pencurian tersembunyi dalam urutan pelaksanaan beberapa langkah umum yang berujung pada hasil jahat.
Sejumlah serangan terbaru dinilai sejalan dengan pola tersebut. Eksploit Edel Finance awal bulan ini melewati feed harga Chainlink yang akurat lewat lapisan wrapping di atasnya. Dalam serangan tata kelola BONK, tindakan membeli token, melakukan voting, dan mengeksekusi proposal yang lolos masing-masing merupakan transaksi biasa.
Respons Foundation adalah membiarkan agen mengusulkan rangkaian langkah mana yang layak diuji, lalu tetap menjalankan pengujiannya secara langsung.